PHPカンファレンス香川2024
レギュラートーク(20分)
PHPのお供にCSPヘッダを使おう
小川
hoge
「全ページ中で1箇所でもhtmlspecialchars()忘れたらXSSで死ぬ」、辛くないですか?
自分が頑張っても他のメンバーは?新人が来たら?そもそも"気をつける"が対策なのはちょっと…
そこで便利なのContent Security Policy(CSP)ヘッダで、クロスサイトスクリプティング(XSS)を強力に防いでくれます。
それ以外にも便利な機能があり、いくつかの機能を紹介します。
弊社ではサービスをPHP + nginx + Vue構成に作り直した際にCSPヘッダ適用を初め、順調に運用しています。
その際にハマったポイントも紹介します。