CSP (Content Security Policy) とは、Web ページが読み込み可能なリソース (スクリプト、スタイルシート、画像、フォントなど) のソースを制限するセキュリティ機構です。HTTP レスポンスヘッダーまたは HTML の <meta> タグで設定し、XSS (クロスサイトスクリプティング) 攻撃の防止に効果的です。
CSP の基本的な仕組みは、ホワイトリスト方式でリソースの読み込み元を指定することです。たとえば、script-src 'self' は同一オリジンからのスクリプトのみを許可し、外部から注入された悪意のあるスクリプトの実行をブロックします。<% if (typeof amazonTag !== 'undefined' && amazonTag) { %><a href="https://www.amazon.co.jp/s?k=CSP%20セキュリティ%20設定&tag=<%= amazonTag %>" target="_blank" rel="nofollow noopener noreferrer" class="amazon-inline-link">Amazon の関連書籍</a><% } else { %>Amazon の関連書籍<% } %>も参考になります。
短縮 URL サービスでは、CSP を適切に設定することで、リダイレクトページやプレビューページへの悪意のあるスクリプト注入を防止できます。特に、ユーザーが入力した URL を表示するプレビュー機能では、CSP による保護が重要です。
CSP の導入は段階的に行うことが推奨されます。まず Content-Security-Policy-Report-Only ヘッダーで違反をレポートのみに留め、既存の機能に影響がないことを確認してから、本番の CSP ヘッダーに切り替えます。<% if (typeof amazonTag !== 'undefined' && amazonTag) { %><a href="https://www.amazon.co.jp/s?k=Web%20セキュリティ%20ヘッダー&tag=<%= amazonTag %>" target="_blank" rel="nofollow noopener noreferrer" class="amazon-inline-link">Web セキュリティヘッダーの実践書</a><% } else { %>Web セキュリティヘッダーの実践書<% } %>も役立ちます。