コンテンツセキュリティポリシーが、Rocket Loader、Mirage、Apps、Scrape Shield、およびBrowser InsightsなどのCloudflare機能と互換性があることを確認します。
概要
コンテンツセキュリティポリシー(CSP)は、Webブラウザーが読み込んだコンテンツのオリジンを承認します。 正しく設定されたCSPは、次に対するセキュリティを確保します:
- コンテンツ/コードインジェクション
- クロスサイトスクリプティング(XSS)
- 悪意のあるリソースの埋め込み
- 悪意のあるiframe(クリックジャッキング)
CloudflareのCDNはCSPと互換性があり、Webサーバー(オリジンサーバー)からのCSPヘッダーを変更しません。 Cloudflareでは、WebサイトのコンテンツやWebサイトで使用されるサードパーティコンテンツの受け入れ可能なソースの変更を必要としません。 CloudflareはURLの変更およびCSPで指定したロケーションの干渉をしません。
Cloudflare機能とCSPの互換性
特定のCloudflare機能を適切に利用するには、CSPヘッダーを更新します:
script-src 'self' ajax.cloudflare.com;
script-src 'self' ajax.cloudflare.com;
- CloudflareAppsまたはScrape Shieldはユーザーのドメインにインラインコードおよびインラインスクリプトを追加します:
script-src 'self' 'unsafe-inline'
script-src 'self' static.cloudflareinsights.com;
関連リソース
さまざまなブラウザと互換性のあるCSPを作成する場合は、次のガイドを参照してください: