Content-Security-Policy と nonce の話 - tokuhirom's blog

Content-Security-Policy の nonce を利用すると、XSS の脅威をかなり軽減できます。 そこで、Web Application Framework ではデフォルトで対応したほうがよいのではないか、という旨を @hasegawayosuke さんから教えて頂いたので、実装について考えてみました。 とりあえず CSP の nonce はどういうものなのかを考慮するために、コード例を探していたのですが、実際に動くサンプルというものが nonce 関連のもので見当たりませんでした。 そこで、実際に動くサンプルを用意しました。 https://github.com/tokuhirom/csp-nonce-sample 以下は Sinatra で書かれたサンプルコードです。 require 'sinatra' require 'securerandom' get '/' d

[hasegawayosuke]

よい。合わせて読みたい→https://twitter.com/teppeis/status/515295395543400448

[teppeis]

nonceだけだとCSP 1.0には対応してるけどnonceに対応してないSafariとかでサイトが表示できなくなるので、フォールバックのためにunsafe-inlineも付けた方が良いかも。

[rryu]

script要素を出力するヘルパーみたいなのを作れば簡単にできそうだが、外部JSのみという縛りの方が難しそう。アクセス解析タグとか埋め込めないし。

[tyru]

「"Content-Security-Policy: unsafe-inline; script-src 'nonce-${nonce}'" 形式で書いたら、${nonce} の部分を script タグの属性にいれないと実行されなくなります」

[efcl]

CSP nonceについて

[Jxck]

　サポート状況。 IE は X- が必要っぽい。http://caniuse.com/#feat=contentsecuritypolicy

[karupanerura]

よさそう

[tokuhirom]

New post: "Content-Security-Policy と nonce の話"