回答編集履歴
2
少し追記しました
answer
CHANGED
|
@@ -1,8 +1,10 @@
|
|
|
1
1
|
結局、ブラウザごとにhttpヘッダを出しわけることにしました。
|
|
2
2
|
|
|
3
|
-
- CSP3に対応しているchrome/
|
|
3
|
+
- CSP3に対応しているchrome/Firefox/Edge/Operaは nonce+strict-dynamic(unsafe-inlineは使わない)
|
|
4
4
|
- それ以外のブラウザはCSP自体を使わない
|
|
5
5
|
|
|
6
|
-
CSP2まで対応しているSafariはCSP+ホワイトリストという形も検討したのですが、GAや広告用のトラッキングタグが子スクリプトをインラインで吐き出すので'unsafe-inline'を使う必要があり、CSPを設定する意味があまり無いと判断し
|
|
6
|
+
CSP2まで対応しているSafariはCSP+ホワイトリストという形も検討したのですが、GAや広告用のトラッキングタグを含んだGTMが子スクリプトをインラインで吐き出すので、結局'unsafe-inline'を使う必要があり、CSPを設定する意味があまり無いと判断してIEと同様にCSP自体を使わないことにしました。
|
|
7
7
|
|
|
8
|
+
IE・Safari用にX-XSS-Protectionヘッダも記述はしているので、ある程度、想定しているブラウザでのセキュリティは担保できたかな、と思っています。
|
|
9
|
+
|
|
8
|
-
CSP3対応ブラウザにunsafe-inlineを使わないことで、
|
|
10
|
+
CSP3対応ブラウザにunsafe-inlineを使わないことで、Firefoxの警告もなくなり、スッキリしました。
|
1
テキストを少しだけ修正しました
answer
CHANGED
|
@@ -3,6 +3,6 @@
|
|
|
3
3
|
- CSP3に対応しているchrome/FireFox/Edge/Operaは nonce+strict-dynamic(unsafe-inlineは使わない)
|
|
4
4
|
- それ以外のブラウザはCSP自体を使わない
|
|
5
5
|
|
|
6
|
-
CSP2まで対応しているSafariはCSP+ホワイトリストという形も検討したのですが、GAや広告用のトラッキングタグが子スクリプトをインラインで吐き出すので'unsafe-inline'を使う必要があり、CSPを設定する意味があまり無いと判断したため
|
|
6
|
+
CSP2まで対応しているSafariはCSP+ホワイトリストという形も検討したのですが、GAや広告用のトラッキングタグが子スクリプトをインラインで吐き出すので'unsafe-inline'を使う必要があり、CSPを設定する意味があまり無いと判断したため、IEと同様にCSP自体を使わないことにしました。
|
|
7
7
|
|
|
8
8
|
CSP3対応ブラウザにunsafe-inlineを使わないことで、FireFoxの警告もなくなり、スッキリしました。
|