ブログ

  • TOP
  • 全ての記事
  • サイト脆弱性をチェックしよう! -- 第20回:CSP(Content Security Policy)
catch-img

サイト脆弱性をチェックしよう! -- 第20回:CSP(Content Security Policy)

脆弱性診断AppScan


<目次>

目次[非表示]

  1. 1.Content Security Policyとは
  2. 2.どのように設定する?
    1. 2.1.構文
    2. 2.2.ディレクティブ
    3. 2.3.ソース
    4. 2.4.ポリシーの設定例
  3. 3.Content-Security-Policyヘッダー導入時の注意点
  4. 4.まとめ

Content Security Policyとは

Content Security Policyはブラウザ上でのコンテンツ読み込みを制限してクロスサイトスクリプティング攻撃(XSS)等のリスクを軽減する仕組みである。

WebサーバーがWebページを応答する際、HTTPレスポンスにContent-Security-Policyヘッダーを設定することで、インラインスクリプト(HTML文書内の<Script>タグを使って、直接文書内にJavaScriptを埋め込む方法)やevalなどを禁止したり、ソースの参照先を制限することで信頼できるリソースのみを使用することができる。

Content Security Policyは当初XSSの攻撃を軽減するために設計されたが、その後、クリックジャッキングなど他の形式の攻撃も軽減することが可能となった。


どのように設定する?

構文

Content-Security-Policyヘッダーは以下の構文で記載する。

 Content-Security-Policy: <ポリシー>


ポリシーの部分は、

 <ディレクティブ> <ソース>

の形式で適用したいコンテンツセキュリティポリシーを表すディレクティブから構成される文字列を設定する。


一つのディレクティブには一つまたは複数のソースも指定することができ、複数のソースを指定する場合は、

 <ディレクティブ> <ソース> <ソース> <ソース>・・・

のように半角スペース区切りでソースを記載する。


複数のディレクティブを指定する場合は、

 <ディレクティブ> <ソース>; <ディレクティブ> <ソース>; <ディレクティブ> ・・・

のように;(セミコロン)区切りで記載する。


ディレクティブ

ディレクティブは制御したいポリシーを指定する。

よく設定されるディレクティブは以下の通り。

 default-src:リソースを取得する際のデフォルトポリシーを定義

 script-src:JavaScript の有効なソースを定義

 style-src:スタイルシートの有効なソースを定義

 img-src:画像の有効なソースを定義

 frame-ancestors:リソースを埋め込むことができる URL を制限


ソース

ソースは許可されるドメインやプロトコル、ポートなどを指定する。 

ソース部分に指定する値について説明する。


 <host-source>

ホスト名またはIPアドレスによるインターネットホスト

任意でURLスキームやポート番号を付けることもできる

設定例: http://*.example.com mail.example.com:443 https://test.example.com*


 <scheme-source>

http:または https:のようなスキームを指定

data:スキームも指定できるが安全でないため非推奨


 'self'

保護された文書が提供されたオリジンを同じURLスキームおよびポート番号で参照


 'unsafe-eval' (非推奨)

文字列からコードを生成する eval() および同様のメソッドの利用を許可('unsafe-eval'がscript-srcディレクティブで指定されていなければevalはブロックされる)


 'unsafe-hashes' (非推奨)

特定のインラインのイベントハンドラー(例えばonclickなど)を許可


 'unsafe-inline' (非推奨)

インラインの <script> 要素、javascript: の URL、インラインイベントハンドラー、インライン <style> 要素のような、インラインリソースの使用を許可


 'none'

空のセットを参照


ポリシーの設定例

 default-src 'self'

すべてのコンテンツについて同一オリジン以外の接続を禁止


 default-src 'self' *.hoge.jp

すべてのコンテンツについて同一オリジンに加え、指定したドメイン「hoge.jp」とそのすべてのサブドメインからの接続を許可


 default-src 'self'; img-src *; media-src media1.com media2.com; script-src script.hoge.com

img-src *で任意のドメインからの画像読み込みを許可し、media-src media1.com media2.comで音声や動画は指定したドメインのみ許可し、script-src script.hoge.comでスクリプトは指定したサーバーのみ許可


 default-src https:// test.example.com

HTTPSでドメインtest.example.com のみに制限


 script-src https://example.com/

インラインのスクリプトやイベントハンドラーはブロックされる

以下のスクリプトはsrcの指定ドメインが許可されていないためブロックされ、読み込みや実行は行われない

 <script src="https://test.example.com/js/library.js"></script>


 frame-ancestors 'self' https://www.example.com

クリックジャッキング対策の設定例

同一オリジンに加え、指定した「https://www.example.com」とそのすべてのサブドメインのページ埋め込みを許可

Content-Security-Policyヘッダー導入時の注意点

Webアプリケーション本来の動作に影響を与えないようにする必要がある。

具体的な影響例:

・インラインのスクリプトやイベントハンドラーが動作せず通常の画面遷移ができない

・Google Analytics等の外部サービスが使用できない

・広告が表示されない

Content-Security-Policyヘッダーを導入する際には、スクリプト実行を許可するドメインの追加や、幾つかの挙動を例外的に許可する設定を足す必要がある。

まとめ

XSSの有効な対策はバリデーションとエスケープだが、その対策に不備があった場合の緩和策としてContent-Security-Policyは有効といえる。
ただし、Content-Security-Policyの導入はアプリケーションの動作に影響する可能性があるので、事前に導入しても問題ないことを確認する必要がある。

過去の脆弱性コラムについてはこちらからご確認ください。


前の記事

prev-article-image

医療業界向けランサムウェア対策の必要性とポイントをご紹介

次の記事

next-article-image

セキュアコーディングベストプラクティスハンドブック~前半~

CONTACT

ITインフラに関してお悩みの方は
お気軽にご相談ください

ご不明な点はお気軽に
お問い合わせください。
お問い合わせ
ITインフラに関するお役立ち資料は
こちらよりダウンロードできます。
資料ダウンロード

人気記事ランキング

タグ一覧

TechMatrix
セキュリティポリシー
ページトップへ

© techmatrix.,Inc. All Rights Reserved.