コンテンツセキュリティポリシーによるXSS防止

はい、CSPはXSSを防御するのに大いに役立ちます。 「コンテンツセキュリティポリシーXSS」でGoogle検索を行う場合、最初のいくつかのリンクでその方法と理由を説明しています。

Googleの使用に問題がある場合は、CSPがXSSに対してどのように防御するかを説明するのに役立つリンクをいくつか紹介します。

• Mike Westのコンテンツセキュリティポリシーの概要

• DavidMüllerによるコンテンツセキュリティポリシーの概要

• コンテンツセキュリティポリシーを使用してクロスサイトスクリプティング（XSS）を防止する -SendSafely.comは、サイトでのCSPの使用方法を説明しています。

• ウェブを保護するコンテンツセキュリティポリシーの約束

CSPポリシーはブラウザーによって適用されます。したがって、適切なCSPポリシーを設定し、ブラウザーにバグがないと仮定すると、CSPをバイパスする方法はありません。これがCSPの魅力の1つです。

一部のブラウザー（例：IE10と以前のバージョンのIE、正しく思い出せば）はCSPをサポートしていません。

CSPは特効薬ではないことに注意してください。

• CSPポリシーで 'unsafe-eval'を有効にしても、CSPはDOMベースのXSS（クライアント側XSSとも呼ばれる）を停止しません。 DOMベースのXSSを防ぐには、Javascriptを慎重に記述して、このような脆弱性の導入を回避する必要があります。

• CSPは、ほとんどの形式のスクリプトインジェクションを停止しますが、マークアップインジェクションは停止しません。たとえば、 ポストXSSの世界からのポストカード 、およびセクションIII-AのHTMLフォームインジェクション攻撃を参照してください。 自己流出：ブラウザによる情報フロー制御の危険性 （Chen et al、W2SP 2012）。したがって、コードにインジェクションバグを導入しないようにする必要があります。

CSPで解決できない問題の詳細については、 コンテンツセキュリティポリシーの範囲を超えるいくつかのこと も参照してください。