Q&A前提・実現したいこと
phpを使ったWebフォームのXSS対策として、httpヘッダーで nonceを使ったContent-Security-Policy: script-src 'strict-dynamic'を設定しようとしています。
挙動自体は問題なく、nonceが一致したscriptだけが実行されるようにはなったのですが、firefoxのコンソール上で、警告が表示されてしまうのが気にかかっています。
該当のソースコード
php
1header("Content-Security-Policy: script-src 'nonce-$nonce' 'unsafe-inline' 'strict-dynamic' https: http: ;");
CSP3をサポートしていれば、nonce値と'strict-dynamic'以外は無視されるため、コンソールに表示されている警告は「無視しましたよ」という事実だけを表示しているものだと認識しているのですが、このままにしておいて良いのか、ブラウザによってheader関数を出しわける?等をした方が良いのかわかりません。。
#####ここから追記
safariがCSP3非対応で、動的に生成されたscriptは(親のnonceが合っていても)実行されないようなので、結局ブラウザによるhttpヘッダーの出し分けが必要なのかな、と思いました。
https://caniuse.com/?search=csp
https://caniuse.com/?search=strict-dynamic
GTMタグをインラインで入れているので、nonceをサポートしないブラウザ(IEなど)は'unsafe-inline'を適用することになるのですが、そうなると結局IEではXSSできてしまうということでしょうか?皆さんどうしているのでしょう。。
「ブラウザごとによってこうやってCSP出し分けてるよ(もしくはCSPなんて全く使ってないよ、でも。)」というのがあれば是非ご教示いただきたいです。
回答1件
0
自己解決
結局、ブラウザごとにhttpヘッダを出しわけることにしました。
- CSP3に対応しているchrome/Firefox/Edge/Operaは nonce+strict-dynamic(unsafe-inlineは使わない)
- それ以外のブラウザはCSP自体を使わない
CSP2まで対応しているSafariはCSP+ホワイトリストという形も検討したのですが、GAや広告用のトラッキングタグを含んだGTMが子スクリプトをインラインで吐き出すので、結局'unsafe-inline'を使う必要があり、CSPを設定する意味があまり無いと判断してIEと同様にCSP自体を使わないことにしました。
IE・Safari用にX-XSS-Protectionヘッダも記述はしているので、ある程度、想定しているブラウザでのセキュリティは担保できたかな、と思っています。
CSP3対応ブラウザにunsafe-inlineを使わないことで、Firefoxの警告もなくなり、スッキリしました。
投稿2021/10/01 06:52
編集2021/10/04 01:45
総合スコア272
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。