![[PukiWiki]](image/pukiwiki.png "[PukiWiki]")
HTTP の Content-Security-Policy 応答ヘッダーは、ウェブサイト管理者が、あるページにユーザーエージェントが 読み込みを許可されたリソースを管理できるようにします。いくつかの例外を除いて、大半のポリシーにはサーバー オリジンとスクリプトエンドポイントの指定を含んでいます。これはクロスサイトスクリプティングアタック (XSS)を 防ぐのに役立ちます。
CSP の第一の目的は XSS 攻撃の軽減と報告です。 サーバー管理者が CSP を利用する場合、実行を許可するスクリプトの正しいドメインをブラウザーに向けて指定する ことにより、 XSS の発生する箇所を削減・根絶することができます。 CSP をサポートするブラウザーは、サーバーから 指定されたホワイトリストに載っているドメインのスクリプトのみ実行し、他のスクリプトはすべて無視します
