タグ検索の該当結果が少ないため、タイトル検索結果を表示しています。
はじめに SSTでアルバイトをしていて約一年半、仕事は勉強になることばかりで「むしろ自分がお金を払わなくて良いのか?」と思いつつある石渡です。 今回はとある理由でCSP(コンテンツセキュリティポリシー)について調べる機会を頂き、色々な記事を読みましたので、CSPについてまとめてみます。 CSPとは CSP(Content Security Policy)は、対応しているユーザーエージェント(通常はブラウザ)の挙動をWebサイト運営者が制御できるようにする宣言的なセキュリティの仕組みです。どの機能が有効になるか、どこからコンテンツをダウンロードすべきか、などを制御することで、Webサイトの攻撃対象領域を小さくできます。1 簡単に説明すると、XSS等を緩和する為、インラインスクリプトやevalなどを禁止したり、信頼できるコードなどを参照するように制限をかけたりするセキュリティの為のHTTPレス
3rd-party JavaScript のリスク対策に CSP(Content Security Policy)を活用する
ヤフー株式会社は、2023年10月1日にLINEヤフー株式会社になりました。LINEヤフー株式会社の新しいブログはこちらです。LINEヤフー Tech Blog こんにちは、プラットフォームエンジニアの中山です。 Web サイトにはしばしば 3rd-party JavaScript を導入することがあります。たとえば Web 解析ツール、いいねボタンのような SNS 連携機能、広告掲載や効果測定目的のコードスニペットなどは多くの Web サイトで導入されています。 その一方で 3rd-party JavaScript は Web サイトを閲覧するユーザーに対して悪影響を及ぼしかねないため、導入とあわせたリスク対策も必要となります。 そこで、今回は Content Security Policy(以降 CSP)を活用した 3rd-party JavaScript のリスク対策について、ヤフー
Mitigate cross-site scripting (XSS) with a strict Content Security Policy (CSP) | Articles | web.dev
Mitigate cross-site scripting (XSS) with a strict Content Security Policy (CSP) Stay organized with collections Save and categorize content based on your preferences. Cross-site scripting (XSS), the ability to inject malicious scripts into a web app, has been one of the biggest web security vulnerabilities for over a decade. Content Security Policy (CSP) is an added layer of security that helps to
CSPでサードパーティースクリプトを律する
はじめに Legalscapeの顧客の中には、情報セキュリティー等の理由から社内ネットワークからの通信の宛先を制限している組織もたくさんいます。 そのためLegalscapeでは、プロダクトの動作に必要な第三者リソースの一覧を管理し、Legalscapeの導入時にはそれらのドメイン名への接続を許可するようにお願いしてきました。 しかし、現代のWeb開発は、第三者リソースが利用可能であることを暗に期待しがちです。開発者がLegalscapeの顧客背景をよく知らずに新しい依存を導入してしまうことも考えられます。またさらに厄介なのが間接依存の増加です。実際に、firebase packageの更新によって内部で呼び出しているAPIのエンドポイントが変化し、開発者が知らないうちに接続先が変わっていたということが判明しています。[1] そこで私は、CSPを使うことでサードパーティースクリプトやAPI
Visiteurs depuis le 26/01/2019 : 3568 Connectés : 1 Record de connectés : 20 Microsoft Releases Preview of Office 2016 for Mac. By. March 05, 2015 Microsoft on Thursday released a preview version of its Office 2016 productivity suite for Macs. The preview apps - including Excel, OneNote, Outlook, PowerPoint and Word - are available to download for users running the Mac OS 10.10 ('Yosemite') operat
STORES EC本部のソフトウェアエンジニア @_morihirok です。 STORES ECではクリックジャッキングの脆弱性に対応するため、2021年の2月に他ドメインのサイトからのiframe要素などによる読み込みを制限するアップデートを行いました。 コンテンツセキュリティポリシー(以下CSP)を利用し安全にアップデートを行うことができましたので、今回はその取り組みについてご紹介させていただければと思います。 今回のアップデートに至るまでの背景 STORES ECのバックエンドはRuby on Railsで開発されています。Railsではデフォルトの設定で X-Frame-Options に SAMEORIGIN が指定されているため、「そもそも何もしなくてもクリックジャッキングの脆弱性には対応されているのでは?」と思われる方も多いと思います。 これには歴史的経緯がありまして、 S
【CSPヘッダー】セキュリティを守るブラウザの盾
こんにちは、GMO NIKKOのryoutakoです。普段はRuby on Railsを使った開発やプロダクトの脆弱性診断などセキュリティ関連の業務をしています。 今回はHTTPヘッダーの一つであるContent Security Policy(以降CSPヘッダー)について書いていきたいと思います。 経緯 最近の業務でCSPヘッダーに関連する業務を行う機会があったのですが、正直CSPヘッダーのことはぼんやりとしか理解できていない状態でした。なので着手するにあたってCSPヘッダーの知識を復習したので、今回はその内容を共有しようと思います。 CSPヘッダーとは CSPヘッダーはウェブサーバーがブラウザに送信するHTTPヘッダーの一種で、コンテンツセキュリティポリシーを定義します。このポリシーは特定のリソースの読み込みや実行を制御し、ウェブページ上での潜在的なセキュリティリスクを軽減します。 ま
Azureの4つのライセンス形態と料金 ~Azure CSPを利用するメリット~|Microsoft Azureコラム|東京エレクトロンデバイス
それぞれのライセンスについての概要は、以下の通りです。 CSP CSPは「Cloud Solution Provider」の略で、販売代理店を通してAzure製品を利用するライセンスです。従量課金制を採用しており、使用した分だけ料金を支払います。 従量課金で後払いが可能であることと、再販可能であることが最大の特徴です。契約した代理店から技術面その他のサポートが受けられるのも魅力的。反面、Azure製品を多く使用することになった場合、従量課金制が災いして、コストが膨らんでしまうことに注意が必要です。 CSPには多くのメリットがあります。詳細については後述します。 オープンライセンス オープンライセンスは、100ドル単位(2021年1月現在は1万1200円)のプリペイド方式で利用可能なライセンスです。残額が不足した場合は、いつでも追加が可能です。事前に費用を確定させられるので、予算化の際にもコ
JSer.info #532 - Node.js 15.12.0がリリースされました。 Node v15.12.0 (Current) | Node.js fsのreadFile/writeFileに対してPromise版のfs.promisesのreadFile/writeFileが遅くなるというIssueがあります。 fs.promises.readFile is 40% slower than fs.readFile · Issue #37583 · nodejs/node Node.js 15.12.0ではこのパフォーマンス問題への改善が含まれています。 fs: improve fsPromises readFile performance by Linkgoron · Pull Request #37608 · nodejs/node fs: improve fsPromises
HOTWHEELS PREMIUM NISSAN SILVIA(CSP311) HW CAR CULTURE JAPAN HISTORICS 3 - usunonooのブログ@トミカ倉庫
皆様、おはようございます。 usunonooです。 今朝は ホットウィール プレミアム カーカルチャー ジャパンヒストリックス3 日産 初代 シルビア (CSP311) をご紹介致します。 こちらはリアルなタイヤホイールと塗り分けで人気な『ホットウィール・プレミアム』シリーズの中で日本車に焦点を当てた「ジャパン・ヒストリックス3 」の内の一台として、2020年の3月頃に発売されたモデルになります。 リンク 1964年(昭和39年)に開催された第11回・東京モーターショーに「ダットサン・クーペ1500 」として参考出品された後、1965年4月に日産初となる高級パーソナルクーペとして販売がスタートした初代・日産シルビア。 初代シルビアの宝石を彷彿とさせるような美しい外観のボディデザインは『クリスプカット』と呼ばれ、継ぎ目を極力廃してボディラインを際立たせる為に、当時の技術的に機械では不可能であ
はじめに Azureを使いだすにあたって、「Azure」「契約形態」「種類」みたいなワードで検索すると、いろんな技術記事、個人のブログなどで解説が見つかります。 ちょっとずつ記載に差があるものの大筋書かれていることはどこでも共通なので、私もベースの知識としてこれを信じていました。 しかし先日、サポートの方と会話していてどうにもうまく伝わらず、どうやらちょっと情報が古いのではないか?と疑いを持ちました。 サポートの方に指摘いただいた内容や、改めて調べ直したことから「多分こうだ」にたどり着けたので、知識の整理もかねて記事にしたいと思います。 ですが、公式ドキュメントにもズバリな内容は書かれておらず、推測を含みますので「間違ってるよ!」と言うことであれば教えて下さい。(やさしくお願いします!) これまで信じていたモノ いろんなサイトで解説されている内容は以下の通りかと思います。 私が言いたいのは
早いもので、もう2019年12月14日になってしまった。そう、この記事はNew Relic Advent Calendar 2019向けに書いたものだ。 CSP - Content Security PolicyみんなどのくらいCSPを設定しているだろうか? もしや、ご存知ない? という方は↑のリンクを舐めるように読んでほしい。 端的に言うと、CSPはWEBサイトで意図せず埋め込まれたJavaScriptの実行や外部のリソースを制限するものだ。こいつを設定することで、XSS他の攻撃に対する防御力を高めることができる。 現代において、設定しない理由はないので、是非導入しよう。 NewRelicBrowserをつかっているがCSPを設定したい設定に関するドキュメントはちゃんとある。設定例も掲示されているが、そのままでは使えない。 In order to obtain accurate bro
Microsoft CSP:永続型ライセンス(Software in CSP) とは?メリデメ、対象製品などまとめてみた|Microsoft 365相談センター
こんにちは、Microsoft 365 相談センターの五味です。 JR東日本ウォータービジネスの「every pass」というサービスをご存知ですか?会員になると、JR駅構内にある自動販売機(スマホアプリなどをかざせる最新式のかっこいい自販機)で、ペットボトル飲料を1日1本受け取れるのだそうです。 これも、「サブスクリプション」ビジネスの一つですね。サブスクリプションというのは、「1回買ったら終わり」というような従来の買い切り型の商売とは異なり、一定期間の利用権として料金を支払うモデルのことを言います。 駅で買うペットボトル飲料ですらサブスクリプション化するこのご時世ではありますが、ビジネスで利用するサービスにおいては、サブスクリプションで購入(または販売)することにまだ抵抗があるという企業さんもいらっしゃるのではないでしょうか。 実際、このMicrosoft 365 相談センターで紹介し
マライ・メントライン@職業はドイツ人 on Twitter: "キーウのドイツ領事館へのロシア軍ミサイル着弾事件、派手に報道しているのが「ドイツの東スポ」Bild紙なのがたまらない。 https://t.co/FWNHOB3cSp ・中はもぬけの殻で被害なし ・レオパルト戦車をめぐるジョーク有… https://t.co/KVxxEjnb0o"
キーウのドイツ領事館へのロシア軍ミサイル着弾事件、派手に報道しているのが「ドイツの東スポ」Bild紙なのがたまらない。 https://t.co/FWNHOB3cSp ・中はもぬけの殻で被害なし ・レオパルト戦車をめぐるジョーク有… https://t.co/KVxxEjnb0o
例を通してCSPの理解を深める
コンテンツセキュリティポリシー (CSP)とは XSS 攻撃の軽減やデータインジェクション攻撃の軽減をするために追加できるセキュリティレイヤのことです。 web サーバのレスポンスヘッダに"Content-Security-Policy"を設定する必要があります。 設定をすることで、どのアクセスを許可するかといったことやアラートの報告先を指定することができます。 例 Content-Security-Policy: default-src 'self'; img-src \*; media-src media1.com media2.com; script-src userscripts.example.com default-src 'self' すべてのコンテンツをサイト自身のドメイン(サブドメインを除く)から取得させたいということを表します。 img-src * 任意のドメインからの
HTTP CSP について - Qiita
Content-Security-Policy (CSP) CSP は Cross Site Scripting (XSS) や data injection 攻撃を防ぐための HTTP の仕様です。 CSP を有効にするには、以下のいずれかを実施します。 HTTP header で Content-Security-Policy を返す Content-Security-Policy: default-src 'self'; img-src *; media-src media1.com media2.com; script-src userscripts.example.com CSP directives CSP の policy は、上記のように directive に続けて、空白区切りで値リストの記述を ; 区切りで複数記載していきます。 directive は Content
HTTP ガイド リソースと URI ウェブ上のリソースの識別 データ URL MIME タイプ入門 よくある MIME タイプ www 付きと www なしの URL の選択 HTTP ガイド HTTP の基本 HTTP の概要 HTTP の進化 HTTP メッセージ 典型的な HTTP セッション HTTP/1.x のコネクション管理 プロトコルのアップグレードの仕組み HTTP セキュリティ Content Security Policy (CSP) HTTP Strict Transport Security (HSTS) X-Content-Type-Options X-Frame-Options X-XSS-Protection Mozilla web security guidelines Mozilla Observatory HTTP アクセス制御 (CORS) HTTP
GitHub - google/strict-csp
CSP (content-security-policy): A layer of security that can be added to web apps as an HTTP header or meta tag. Source: MDN Strict CSP: A specific set of CSP directives that has been identified as an effective and deployable mitigation against XSS (cross-site scripting). XSS is one of the most widespread sedcurity exploits. Source: w3c. SPA (single-page application): a web app implementation that
GitHub - WICG/csp-next: A Modest Content Security Proposal
Mike West, July 2019 TL;DR: Let's break CSP in half and throw away some options while we're at it. Content Security Policy is a thing. We've been iterating on it for years and years now, and it shows. The backwards compatibility constraints are increasingly contorted, we've moved right past scope creep into scope kudzu, and the implementation status between browsers is inconsistent at best. I thin
Concurrency with Python: CSP and Coroutines > Ying Wang
Bytes by Ying Professional experience as professional insights. The Concurrency with Python Series: Concurrency with Python: Why? Concurrency with Python: Threads and Locks Concurrency with Python: Functional Programming Concurrency with Python: Separating Identity From State Concurrency with Python: Actor Models Concurrency with Python: CSP and Coroutines Concurrency with Python: Hardware-Based P
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
CSP(コンテンツセキュリティポリシー)について調べてみた - セキュアスカイプラス
Terra Cloud Csp Powerpoint 2016 For Mac
CSPを利用してRailsアプリから安全にiframeを制限する - STORES Product Blog
2021-03-23のJS: Node.js 15.12.0(fs.promisesのパフォーマンス改善)、strict CSP、CSS Auditing Tools
Azureのライセンス形態・契約パターン(MOSP・CSP・EA…MPA・MCAって?)
NewRelic BrowserとCSP、お前らと仲良くやっていく。|maki
CSP: script-src - HTTP | MDN
bukkenfan.jp
www.itmedia.co.jp
zozo.jp
www.minpo.jp
zozo.jp
www.yomiuri.co.jp