![[PukiWiki]](image/pukiwiki.png "[PukiWiki]")
#author("2021-07-23T10:26:51+00:00","default:hotate","hotate") #author("2023-10-22T08:57:59+00:00;2021-07-23T10:26:51+00:00","default:hotate","hotate") #contents &tag(セキュリティ, HTTP); &tag(セキュリティ,HTTP); * 情報 [#m44b405c] - [[X-XSS-Protection - HTTP | MDN>https://developer.mozilla.org/ja/docs/Web/HTTP/Headers/X-XSS-Protection]] クロスサイトスクリプティング(XSS) 攻撃を読み込むことを防止するための設定です。近年のブラウザであれば、インラインの JavaScript ('unsafe-inline') を抑制することに強いため、これらの防御はほぼ不必要となっていますが、CSP をサポートしていない古いブラウザの利用者のために依然として、この対策が必要となります。 * 参考 [#k3732b19] - [[Content Security Policy の導入 | Mozilla Developer Street (modest)>https://dev.mozilla.jp/2016/02/implementing-content-security-policy/]] script-src ディレクティブに 'unsafe-inline' を指定すればこの保護を外すことも可能ですが、Web サイトが XSS 攻撃に脆弱になるため、'unsafe-inline' は利用しないことを強く推奨します。 * 関連 [#nd6221aa] #related - [[クロスサイトスクリプティング]] - [[Content-Security-Policy]]
