Rails 5.2.0 beta: Active Storage, Redis Cache Store, HTTP/2 Early Hints, CSP, Credentials
Rails 5.2.0 beta: Active Storage, Redis Cache Store, HTTP/2 Early Hints, CSP, Credentials It’s been too hard to deal with file uploads in Rails for too long. Sure, there’s been a lot of fine plugins available, but it was overdue that we incorporated something right into the framework. So now we have! With the new Active Storage framework in Rails 5.2, we’ve solved for the modern approach of upload
弊社のホームページにCSP(Content Security Policy)を導入しました。CSPについては、はせがわようすけ氏のスライド「5分でわかるCSP」がわかりやすいと思います。以下にスライドの一部を引用します。 具体的には、以下のように指定して使います。 Content-Security-Policy: default-src 'self' この結果、以下のようにJavaScriptの記述が制限されます。 外部のJavaScriptの読み込みは禁止 HTMLソースに記述した<script>...</script>のJavaScriptは禁止 イベント属性(onload="xxxx"など)は禁止 何も書けなくなるじゃないかと思われるかもしれませんが、JavaScriptは全て*.jsファイルに記述すればよい、ということです。 CSPは、JavaScriptのコードとデータを分離して
Rails 5.2.0 FINAL: Active Storage, Redis Cache Store, HTTP/2 Early Hints, CSP, Credentials
Rails 5.2.0 FINAL: Active Storage, Redis Cache Store, HTTP/2 Early Hints, CSP, Credentials Nearly 14 years since the first public version of Rails, it’s our pleasure to release yet another major upgrade to the framework in the form of 5.2.0 final. We’ve been diligently polishing Active Storage and the other big new components for stable release, and it’s great to see so many applications already r
Intro HTTPS 移行の問題点の一つに、 mixed contents への対応がある。 逆に mixed contents の発生を恐れ、 HTTPS に移行できないサービスもあるだろう。 本エントリでは mixed contents の正しい理解と、その検出や解消に利用できる可能性のある、 CSP の Upgrade-Insecure-Request および、 Block-All-Mixed-Contents を解説する。 mixed contents HTTPS で配信されたコンテンツが、サブリソースとして HTTP のコンテンツを含む場合、これを mixed contents という。 HTTPS は MITM に対する耐性があるが、 HTTP は MITM への耐性がないため、 mixed contents の状態ではサブリソースを起点にメインコンテンツへの改ざんが成立して
Intro このブログで CSP レポートの収集を開始してもうすぐ 1 年になる。 現状、対象ドメイン内で <input> は一切提供しておらず、大半が静的に生成されたページであるが、この条件でも、かなり多くのレポートが集まった。 今回は、収集した実際のレポートを例に、攻撃ではないと思われるレポートとしてどういったものが送られて来たかを中心に、その内容やレポーティングサーバ、 CSP の運用に関する現時点の考察についてまとめる。 収集目的 CSP の基本は、意図しないリソースの読み込みや、 Inline Script の実行を防ぐことにある。 例えば、エスケープ漏れにより XSS が発生し、悪意のある Inline Script が埋め込まれた場合でも、 Inline Script を禁止するポリシーを適用したページでは、その実行はブラウザによって Violation(違反)と判断されブロ
PHPでCSP(Content Security Policy)を導入してXSS対策を強化してみよう — A Day in Serenity (Reloaded) — PHP, CodeIgniter, FuelPHP, Linux or something
PHPで簡単にCSPを導入するためのライブラリを作成してみました。 kenjis/csp https://github.com/kenjis/php-csp-nonce-source 既存サイトへの影響を最小限にしてCSPが導入できることを目的としています。 基本的にCSP nonce-sourceを使い、nonceのないscriptタグは実行しないようにすることでXSS対策を強化します。 このライブラリの仕様としては、CSP nonce-sourceに対応していると思われる指定ブラウザに対してのみCSPヘッダを出力します。現状、ChromeとFirefoxのみが指定されています。 なお、CSP nonce-sourceに対応したChromeのバージョンがわからないので、確認できたバージョン37以上としてます。 CSPについて CSPについてよく知らない方は以下のスライドなどをご覧下さい。
tl;dr CSP Lv.2のnonceを使うと意外と簡単にCSPの恩恵を受けれるよ Firefoxはunsafe-inlineとの挙動がおかしいので注意 サンプル実装としてExpressで簡単にnonce対応できるconnectプラグインを書いた(デモあり) Violation Reportもブラウザによって細かい挙動の差異があるよ CSP Lv.2 nonceの登場と背景 CSPの特にunsafe-inlineはXSSに対して最終防衛線的に強力な効果がある。 しかし特にサーバーからの値の受け渡し部分などでどうしてもinline scriptを使いたくなるところがあり、unsafe-inlineを禁止するとDOM data等を使わざるを得ず、つらい感じだった。 @kazuho ですね。かといってDOM dataかー、、という感じではあるんですが、CSPでinline script禁止しち
Rails 5.2.0 RC2: Active Storage, Redis Cache Store, HTTP/2 Early Hints, CSP, Credentials
Rails 5.2.0 RC2: Active Storage, Redis Cache Store, HTTP/2 Early Hints, CSP, Credentials It’s almost time for RailsConf, and we’re determined to get the final version of Rails 5.2 released before then. So here’s the hopefully last release candidate before that can happen. We’ve put a ton of into ironing out all the issues with Active Storage in particular, now that more and more applications are s
CSP Lv.2の話
#ssmjp 2014/10 XSSの運用の話 間違いなどありましたら @yagihashoo まで。 ## 10/28 9:26追記 nonce-value、規格上はBase64だよ!という指摘をいただいたのでスライド18-19を修正しました。 詳細は以下をご覧ください。 http://www.w3.org/TR/CSP2/#source-list-valid-nonces ## 10/29 15:00追記 Path matchingの例示について間違いがあったためスライド14を修正しました。Read less
はじめに SSTでアルバイトをしていて約一年半、仕事は勉強になることばかりで「むしろ自分がお金を払わなくて良いのか?」と思いつつある石渡です。 今回はとある理由でCSP(コンテンツセキュリティポリシー)について調べる機会を頂き、色々な記事を読みましたので、CSPについてまとめてみます。 CSPとは CSP(Content Security Policy)は、対応しているユーザーエージェント(通常はブラウザ)の挙動をWebサイト運営者が制御できるようにする宣言的なセキュリティの仕組みです。どの機能が有効になるか、どこからコンテンツをダウンロードすべきか、などを制御することで、Webサイトの攻撃対象領域を小さくできます。1 簡単に説明すると、XSS等を緩和する為、インラインスクリプトやevalなどを禁止したり、信頼できるコードなどを参照するように制限をかけたりするセキュリティの為のHTTPレス
Content Security Policy(CSP) ではHTTPヘッダや<meta>要素に定義を記述し、さまざまな条件でコンテンツに制約をかけることができます。 そのCSPの中でも実際に制約をかけずにテストして、その結果を特定のURLにPOSTする Content-Security-Policy-Report-Only という仕組みがあります。 CSPにはHTTPSではない画像やJavaScriptを読み込めなくする制約も設定できるので、HTTPからHTTPSに移行する際などに役立ちます。 例えば、リソースはすべてHTTPSから読み込まないと行けないというCSPの設定は次のようにかけます。 実際にこのCSPをHTTPレスポンスヘッダに設定するとCSPに対応しているブラウザは、HTTPSではない画像やJavaScriptなどをブロックします。 実際にブロックされると使えなくなって困るの
3rd-party JavaScript のリスク対策に CSP(Content Security Policy)を活用する
ヤフー株式会社は、2023年10月1日にLINEヤフー株式会社になりました。LINEヤフー株式会社の新しいブログはこちらです。LINEヤフー Tech Blog こんにちは、プラットフォームエンジニアの中山です。 Web サイトにはしばしば 3rd-party JavaScript を導入することがあります。たとえば Web 解析ツール、いいねボタンのような SNS 連携機能、広告掲載や効果測定目的のコードスニペットなどは多くの Web サイトで導入されています。 その一方で 3rd-party JavaScript は Web サイトを閲覧するユーザーに対して悪影響を及ぼしかねないため、導入とあわせたリスク対策も必要となります。 そこで、今回は Content Security Policy(以降 CSP)を活用した 3rd-party JavaScript のリスク対策について、ヤフー
Content-Security-Policy (CSP) Header Quick Reference
Content Security Policy Reference The new Content-Security-Policy HTTP response header helps you reduce XSS risks on modern browsers by declaring which dynamic resources are allowed to load. What is Content-Security-Policy? Content-Security-Policy is the name of a HTTP response header that modern browsers use to enhance the security of the document (or web page). The Content-Security-Policy header
サイトの説明 並行システムなどを研究していてFormal Methods(形式手法)であるCSPに興味を持ったのだが、日本語であまり良い解説・入門サイトがないようなので自分で書いてみようかと思いました。少しでも役に立てれば幸いです。リンク、コメントなどは自由にしてください。 学習の流れ CSP概要 FDR2とは 代数演算子 prefix(接頭辞) sequential(逐次) recursion(再帰) conditional choice(条件選択) external choice(外部選択) internal choice(内部選択) parallel(並行) 例題1 interleaving sharing(共有) hiding(隠蔽) 例題2 interrupt(割り込み) renaming(変更) Input/Output(入出力) linked parallel Trace S
CSP Evaluator
CSP Evaluator allows developers and security experts to check if a Content Security Policy (CSP) serves as a strong mitigation against cross-site scripting attacks. It assists with the process of reviewing CSP policies, which is usually a manual task, and helps identify subtle CSP bypasses which undermine the value of a policy. CSP Evaluator checks are based on a large-scale study and are aimed to
Presentation materials of hasemunea (Yosuke HASEGAWA & nishimunea) for AVTOKYO2014.Read less
Content Security Policy(CSP) 対応と report-uri.io でのレポート収集 | blog.jxck.io
Intro 本サイトにて Content Security Policy を有効化した。 まずは Report Only にて導入し、段階的にポリシーとコンテンツを修正していく方針をとる。 CSP Report については、 report-uri.io を用いて収集することにした。 導入に必要な設定や、注意点についてまとめる。 Content Security Policy Content Security Policy(CSP) とは、 Web におけるセキュリティを向上させる非常に強力な仕組みである。 Content Security Policy Level 2 draft-gondrom-websec-csp-header-00 - HTTP Header Content Security Policy 具体的には、コンテンツに対し Content-Security-Policy
AVTOKYO 2014で「CSPが切り開くWebセキュリティの未来」という題で話してきた - 葉っぱ日記
AVTOKYO2014で、にしむねあさんといっしょに「はせむねあ」というユニット名でContent-Security-Policyをテーマに話をしてきました。 Future of Web Security Opened up by CSP from Muneaki Nishimura 内容はスライドのとおりで、攻撃者はFiddlerなどを使って任意のCSP違反レポートJSONを送信可能であること、Firefoxの場合にはCSP違反レポートのJSON内に「<」「>」などが含まれるので、違反レポートを表示する管理画面でのエスケープ漏れがあると違反レポートを通じて管理画面内でXSSする、などの話を行い、実際に管理画面でのXSSのデモを行いました。 デモはあんまり細かいことは考えてなかったんですが、アドリブ苦手なにしむねあさんがいい味を出してて、横で見ていても楽しかったです。ちなみに直前の打ち合わ
Mitigate cross-site scripting (XSS) with a strict Content Security Policy (CSP) | Articles | web.dev
Mitigate cross-site scripting (XSS) with a strict Content Security Policy (CSP) Stay organized with collections Save and categorize content based on your preferences. Cross-site scripting (XSS), the ability to inject malicious scripts into a web app, has been one of the biggest web security vulnerabilities for over a decade. Content Security Policy (CSP) is an added layer of security that helps to
CSP Is Dead, Long Live CSP! On the Insecurity of Whitelists and the Future of Content Security Policy
Philosophy We strive to create an environment conducive to many different types of research across many different time scales and levels of risk. Learn more about our Philosophy Learn more
2019年10月1日 株式会社CSPフロンティア研究所 平素は格別のご高配を賜り厚く御礼申し上げます。 この度、弊社は、親会社であるセントラル警備保障株式会社による研究開発部門の集約および経営資源の統廃合により、2019年9月30日をもちましてグループ会社であるCSPビルアンドサービス株式会社と合併いたしました。それに伴い、2006年より運営しておりましたCSP SSLサービスを終了させていただきました。 大変申し訳ございませんが、2019年9月30日に新規受付・更新ならびにマルチドメインの追加等の証明書発行依頼の受付停止となりました。なお、発行済みのSSLサーバ証明書につきましては、証明書の有効期限が来るまで引き続きサポートさせていただきます。 皆様の長年にわたるご厚情に心から感謝申し上げますと共に、突然の業務終了でご迷惑をおかけしますことを深くお詫び申し上げる次第でございます。 皆様の
CSPでサードパーティースクリプトを律する
はじめに Legalscapeの顧客の中には、情報セキュリティー等の理由から社内ネットワークからの通信の宛先を制限している組織もたくさんいます。 そのためLegalscapeでは、プロダクトの動作に必要な第三者リソースの一覧を管理し、Legalscapeの導入時にはそれらのドメイン名への接続を許可するようにお願いしてきました。 しかし、現代のWeb開発は、第三者リソースが利用可能であることを暗に期待しがちです。開発者がLegalscapeの顧客背景をよく知らずに新しい依存を導入してしまうことも考えられます。またさらに厄介なのが間接依存の増加です。実際に、firebase packageの更新によって内部で呼び出しているAPIのエンドポイントが変化し、開発者が知らないうちに接続先が変わっていたということが判明しています。[1] そこで私は、CSPを使うことでサードパーティースクリプトやAPI
Taming the Asynchronous Beast with CSP Channels in JavaScript
Taming the Asynchronous Beast with CSP Channels in JavaScript This is an entry in a series about rebuilding my custom blog with react, CSP, and other modern tech. Read more in the blog rebuild series. Every piece of software deals with complex control flow mechanisms like callbacks, promises, events, and streams. Some require simple asynchronous coordination, others processing of event or stream-b
HTTP Guides Resources and URIs Identifying resources on the Web Data URLs Introduction to MIME types Common MIME types Choosing between www and non-www URLs HTTP guide Basics of HTTP Overview of HTTP Evolution of HTTP HTTP Messages A typical HTTP session Connection management in HTTP/1.x Protocol upgrade mechanism HTTP security Content Security Policy (CSP) HTTP Strict Transport Security (HSTS) X-
ーブッダの存在が、身近に思えたー ブッダのめがねに出会う彼女のストーリー第3話。 言葉に出会い、何に気付いていくのか。 ぜひ、ご覧ください。 イラスト:momoe
Spring BootによるAPIバックエンド構築実践ガイド 第2版 何千人もの開発者が、InfoQのミニブック「Practical Guide to Building an API Back End with Spring Boot」から、Spring Bootを使ったREST API構築の基礎を学んだ。この本では、出版時に新しくリリースされたバージョンである Spring Boot 2 を使用している。しかし、Spring Boot3が最近リリースされ、重要な変...
Content Security Policy (CSP) についてちょっと調べたことのメモ - 愛と勇気と缶ビール
http://blog.monoweb.info/article/2012031523.html しばらく前に↑のblogで記事になった、Content Security Policy(以下CSP)についてのメモ。 ちなみにCSP自体の仕様については、 W3Cのdraft (https://dvcs.w3.org/hg/content-security-policy/raw-file/tip/csp-specification.dev.html) MDNのIntroduction(https://developer.mozilla.org/ja/Introducing_Content_Security_Policy) などを参照。下のは仕様というよりmozillaにおける実装かな。 CSPでできること ざっくりとだけCSPで可能なことを示すと デフォルト機能 href="javascrip
CSPの紹介
CSPモデルの優位性 産業技術総合研究所 情報技術研究部門 磯部祥尚 1 第9回CSP研究会(2012年3月17日) 0:40 講演内容 2 1. CSPモデルの特徴 CSPモデルとは? 同期型メッセージパッシング通信 イベント駆動 通信相手(チャネル)の自動選択 2. CSPモデルの実装 ライブラリ/言語 CSPモデルの実装例 ローカル/ネットワークチャネル 3. CSPモデルの検証 CSPモデルの記述例 検証ツール 振舞いの等しさ 4. CSPモデルベース開発 並列プログラミングの難しさ CSPによるモデル化、検証、実装 まとめ 理論 CSP 検証 FDR 実装 JCSP 1:20 CSPモデルの特徴 3 CSPモデルとは? 同期型メッセージパッシング通信 イベント駆動 通信相手(チャネル)の自動選択 1:20 P1
Content Security Policy Level 3のFirst Public Working Draftがそろそろ公開されそうです。 W3Cのgithubリポジトリより公開予定の仕様が確認できます。 https://w3c.github.io/webappsec-csp/published/FPWD-2015-01.html CSP2からの変更点 CSP3では主に以下の点が変更されたようです( https://w3c.github.io/webappsec-csp/published/FPWD-2015-01.html#changes-from-level-2 )。 1. FETCHの仕様の用語で一から書きなおされました。これにより、CSPの要求と制限が他の仕様と整合性が取れるようになりました(特にService Workersの仕様)。 2. CSP Level2で非推奨とな
Development - International Open Data Hackathon Tokyo - Chiyoda ward geolocat...
[redux][react][redux-saga]redux-sagaで検索機能の実装を写経してCSPのパワーを感じる - Qiita
この記事は、@inuscriptさんによる「redux-observableで検索機能の実装を写経してRxJSのパワーを感じる」をRedux-Sagaで書きなおしたものです。 本記事の目的 実用コードにおける非同期処理では以下のような問題が頻出する。これらについて元記事におけるRedux-obserbable(あるいはAngularが提供する)RxJSを用いた解決方法に対して、Redux-sagaによる解決方法を比較する。 (元記事よりの引用) この時、大きく以下3つの問題に当たる 1: キーストローク毎にリクエストするのはよろしくない 2: 同じリクエストで済むのに無意味にリクエスト飛ばすのはよろしくない foo -> fooo -> foo -> fooo -> foo みたいな入力をした場合に不必要にデータ飛んでしまう可能性 3: 複数リクエストを発火した場合の処理 A -> Bの順
![[redux][react][redux-saga]redux-sagaで検索機能の実装を写経してCSPのパワーを感じる - Qiita](https://cdn-ak-scissors.b.st-hatena.com/image/square/e9fd23ccc12c60096ccf1d1e8b3cd50627f03067/height=288;version=1;width=512/https%3A%2F%2Fqiita-user-contents.imgix.net%2Fhttps%253A%252F%252Fcdn.qiita.com%252Fassets%252Fpublic%252Farticle-ogp-background-9f5428127621718a910c8b63951390ad.png%3Fixlib%3Drb-4.0.0%26w%3D1200%26mark64%3DaHR0cHM6Ly9xaWl0YS11c2VyLWNvbnRlbnRzLmltZ2l4Lm5ldC9-dGV4dD9peGxpYj1yYi00LjAuMCZ3PTkxNiZoPTMzNiZ0eHQ9cmVkdXgtc2FnYSVFMyU4MSVBNyVFNiVBNCU5QyVFNyVCNCVBMiVFNiVBOSU5RiVFOCU4MyVCRCVFMyU4MSVBRSVFNSVBRSU5RiVFOCVBMyU4NSVFMyU4MiU5MiVFNSU4NiU5OSVFNyVCNSU4QyVFMyU4MSU5NyVFMyU4MSVBNkNTUCVFMyU4MSVBRSVFMyU4MyU5MSVFMyU4MyVBRiVFMyU4MyVCQyVFMyU4MiU5MiVFNiU4NCU5RiVFMyU4MSU5OCVFMyU4MiU4QiZ0eHQtY29sb3I9JTIzMjEyMTIxJnR4dC1mb250PUhpcmFnaW5vJTIwU2FucyUyMFc2JnR4dC1zaXplPTU2JnR4dC1jbGlwPWVsbGlwc2lzJnR4dC1hbGlnbj1sZWZ0JTJDdG9wJnM9MzFjYmFlMTdhOGMwZjMzNTc0MzRhMDA0Y2ZjYzBlY2Y%26mark-x%3D142%26mark-y%3D112%26blend64%3DaHR0cHM6Ly9xaWl0YS11c2VyLWNvbnRlbnRzLmltZ2l4Lm5ldC9-dGV4dD9peGxpYj1yYi00LjAuMCZ3PTYxNiZ0eHQ9JTQwdWVoYWomdHh0LWNvbG9yPSUyMzIxMjEyMSZ0eHQtZm9udD1IaXJhZ2lubyUyMFNhbnMlMjBXNiZ0eHQtc2l6ZT0zNiZ0eHQtYWxpZ249bGVmdCUyQ3RvcCZzPTU3OWE2NTM4YzBkMzg0MGYyZDhmMmMxN2IxYTE4Nzdi%26blend-x%3D142%26blend-y%3D491%26blend-mode%3Dnormal%26s%3Df56573710f1496147db654b91d464685)
CSP による防御とリアルワールドレポート収集/csp-and-real-world-reporting
Recruit Tech Night #rtechnight 2017/2/3
Programming is difficult — and difficult things generally don’t have a perfect solution. As an example, cross-site scripting (XSS) is still very much unsolved. It’s very easy to think you’re doing the right thing at the right time, but there are two opportunities to fail here: the fix might not be correct, and it might not be applied correctly. Escaping content (while still the most effective way
GitHub's post-CSP journey
EngineeringSecurityGitHub’s post-CSP journeyLast year we shared some details on GitHub's CSP journey. A journey was a good way to describe it, as our usage of Content Security Policy (CSP) significantly changed from… Last year we shared some details on GitHub’s CSP journey. A journey was a good way to describe it, as our usage of Content Security Policy (CSP) significantly changed from our initial
2019年10月1日 株式会社CSPフロンティア研究所 平素は格別のご高配を賜り厚く御礼申し上げます。 この度、弊社は、親会社であるセントラル警備保障株式会社による研究開発部門の集約および経営資源の統廃合により、2019年9月30日をもちましてグループ会社であるCSPビルアンドサービス株式会社と合併いたしました。それに伴い、2006年より運営しておりましたCSP SSLサービスを終了させていただきました。 大変申し訳ございませんが、2019年9月30日に新規受付・更新ならびにマルチドメインの追加等の証明書発行依頼の受付停止となりました。なお、発行済みのSSLサーバ証明書につきましては、証明書の有効期限が来るまで引き続きサポートさせていただきます。 皆様の長年にわたるご厚情に心から感謝申し上げますと共に、突然の業務終了でご迷惑をおかけしますことを深くお詫び申し上げる次第でございます。 皆様の
グローバルオブジェクト、通常のWeb上のJavaScriptではwindowオブジェクトのことになるが、最近のJavaScriptではWeb上で動くものとは限らないこともあって、汎用的に取れる手段が確立されている。 まぁ、通常は var global = this; で良い。 (function(global) { "use strict"; // ... }(this)); という書き方の方が一般的かもしれない。 ただし、ECMAScript5th の Strictモード環境下では、this がグローバルオブジェクトを指すことはなく undefined になってしまう。その場合、以下の様にすれば取得は可能だ。 "use strict"; var global = new Function("return this")() この書き方が一番汎用性があると思っていたのだが、一つ問題が浮上した
GitHub's CSP journey
EngineeringSecurityGitHub’s CSP journeyWe shipped subresource integrity a few months back to reduce the risk of a compromised CDN serving malicious JavaScript. That is a big win, but does not address related content… We shipped subresource integrity a few months back to reduce the risk of a compromised CDN serving malicious JavaScript. That is a big win, but does not address related content inject
JSer.info #199 - Bootstrap 3.3.0がリリースされました。 translate3dに起因するバグの修正やNormalize.css、H5BP等のアップデートに対応等が中心となっています。 詳しくは以下に書かれています。 Bootstrap 3.3.0 released · Bootstrap Blog Release v3.3.0 · twbs/bootstrap また、Bootstrap 4の開発を開始していて、navbarの改善やpanels、thumbnailsを置き換える新しいコンポーネントの追加、IE8のサポート終了等が含まれるそうです。 CSP Lv.2の話 というスライドでは、CSP (Content Security Policy)のLv.2で追加された機能などについて書かれています。 CSP Lv.1は既存のプロダクトに適応するのが難しい感じで
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
弊社のホームページにContent Security Policy(CSP)を導入しました
mixed contents 対応を促進する CSP ディレクティブ | blog.jxck.io
CSP Report 収集と実レポートの考察 | blog.jxck.io
そろそろCSP Lv.2 nonceやろう - teppeis blog
CSP(コンテンツセキュリティポリシー)について調べてみた - セキュアスカイプラス
CSPレポート(Mixed Contentの問題)をGoogle Analyticsに集約する
CSP(Communicating Sequential Processes)
Future of Web Security Opened up by CSP
Google、XSS攻撃防止に役立つ“CSP”の厳格な運用を支援するツールを2種類公開
Communicating Sequential Processes (CSP) An alternative to the actor model
CSP SSLサービス終了のお知らせ | CSP SSL
Content Security Policy (CSP) - HTTP | MDN
CSPの話〜FxOSチューン☆〜
CSPベースのモデル検査ツール「Process Analysis Toolkit」
まもなく公開される CSP Level3 の変更点 - ASnoKaze blog
新しい並行計算ライブラリ js-csp のご紹介
CSP to the Rescue: Leveraging the Browser for Security
CSP SSLサービス終了のお知らせ | CSP SSL
CSPとグローバルオブジェクトの取得 - hogehoge @teramako
2014-11-02のJS: Bootstrap 3.3.0、CSP Lv.2、Object.observe()の未来