ポリシー
ポリシーは、コンテンツセキュリティポリシー (CSP) ディレクティブを通じて、アプリケーションで許可されるリソースを定義します。ポリシーは違反をログに記録し、リソースの許可リストを強制することもでき、ポリシーに含まれていないリソースを効果的にブロックします。
許可ポリシーを作成して、ポジティブセキュリティモデル、つまりポジティブブロッキングを定義します。このモデルでは、許可されるものを定義し、それ以外のすべてを拒否します。このアプローチは、アプリケーション内の不要なサードパーティスクリプトに対する攻撃面を減らすのに役立ちます。
ポリシーは、スクリプトやその接続など、ページシールドによって監視されるリソースと、その他のタイプのリソースの両方を制御できます。詳細については、サポートされているCSPディレクティブを参照してください。
ポリシーは、次のいずれかのアクションを実行できます。
- ログ: ページシールドは、ポリシーでカバーされていないリソースをログに記録しますが、リソースをブロックすることはありません。このアクションを使用して、新しいポリシーを展開する前に検証します。ポリシーでカバーされていないリソースは、ポリシー違反として報告されます。
- 許可: ページシールドは、ポリシーで明示的に許可されていないリソースをブロックします。新しいポリシーをログアクションで検証した後、許可アクションに切り替えて、ポリシーがアプリケーションの重要なリソースをブロックしないようにします。これにより、アプリケーションのエンドユーザーに影響を与えることがなくなります。許可アクションを持つポリシーは、ブロックされたリソースに対してポリシー違反をログに記録します。
ページシールドが各タイプのポリシーアクションのために作成するCSPディレクティブの詳細については、ページシールドの動作を参照してください。ページシールドポリシーでサポートされているCSPディレクティブに関する詳細は、サポートされているCSPディレクティブを参照してください。
ページシールドでポリシーを作成する手順については、以下のページを参照してください。