CSP(Content Security Policy)について

What is CSP?

コンテンツセキュリティポリシー (CSP) は、クロスサイトスクリプティング (Cross-site_scripting) やデータインジェクション攻撃などのような、特定の種類の攻撃を検知し、影響を軽減するために追加できるセキュリティレイヤーです。

CSP 未対応のブラウザーは単に CSP を無視し、ウェブコンテンツにはこれまで通り標準の同一オリジンポリシーを適用します。

CSP を有効にするには、ウェブサーバーから Content-Security-Policy HTTP ヘッダーを返すように設定する必要があります

• MDN
  • コンテンツセキュリティポリシー (CSP) - HTTP | MDN
  • Content-Security-Policy - HTTP | MDN

Rails x CSP

Railsでは、アプリケーションでContent Security Policy（CSP）を設定するためのDSLが提供されています。グローバルなデフォルトポリシーを設定し、それをリソースごとにオーバーライドすることも、lambdaを用いてリクエストごとに値をヘッダーに注入することもできます（マルチテナントのアプリケーションにおけるアカウントのサブドメインなど）

• Rails official
  • Securing Rails Applications — Ruby on Rails Guides
  • Rails セキュリティガイド - Railsガイド
• Other Blogs
  • Content Security Policy Level 3におけるXSS対策 - pixiv inside
  • Rails 5.2 DSL for configuring Content Security Policy | BigBinary Blog

サブブラウザとして Brave を使う

昔の名残でサブブラウザOpera使ってたけどもう使うの辞めてfirefoxあたりに乗り換えるか
Opera Softwareが最大876％の暴利ローンアプリで不正に荒稼ぎしてたことが判明、摘発されればOperaブラウザ終了の可能性も - GIGAZINE https://t.co/oLQPrhmVYI

— toshimaru (@toshimaru_e) January 22, 2020

こんなことがあり、Opera から Firefox に乗り換えていたが、どうもFirefoxが手に馴染まない。

ということで braveを試用してみたがすごく良さそうだったのでしばらく使ってみることにした。

Brave: プライバシーを重視した高速かつ安全な次世代ブラウザ | Brave Browser