.mycdn.com`）。 各指令には、明示的なドメイン/サブドメインリストが必要です。彼らは以前の指令から継承しません

データURLの場合、指令にdata:を含めます（例：img-src 'data:'）。 unsafe-inline（script-srcおよびstyle-src）は、インライン<script></script>および<style></style>タグを許可します。 どちらもオプトインポリシーを使用します。それらを省略すると、制限が強化されます unsafe-evalscript-srcブラウザ互換性：

CSP 1.0は、互換性が限られている古いインターネットエクスプローラーバージョンで、幅広いブラウザのサポートを楽しんでいます。

：

で違反を監(jiān)視します 開発ではブラウザコンソールのロギングを使用している間、生産環(huán)境はreport-uriの恩恵を受けます。これにより、違反の詳細（JSON形式）を含むHTTP投稿リクエストが指定されたURLに送信されます。 例：

report-uri違反（例：

。

<code>Content-Security-Policy: default-src 'self';</code>

ヘッダー：www.google-analytics.comreport-uri

を使用してください。 これは、リソースをブロックせずに違反を報告し、サイトの混亂なしに政策の改良を可能にします。 両方のヘッダーを同時に使用できます。 Content-Security-Policy-Report-OnlyCSPの実裝：

Content-Security-Policy-Report-Only CSPはHTTPヘッダーを介して設定されています。 サーバー構成（Apache、IIS、nginx）またはプログラマティックメソッド（php's

）を使用できます。 実世界の例：

header()FacebookとTwitterは、ワイルドカードと特定のドメイン手當を利用して、多様なCSP実裝を実証しています。 setHeader()

cspレベル2は、新しい指令（

、

、）、改善されたレポート、およびインラインスクリプトとスタイルの非CE/ハッシュベースの保護を紹介します。

base-uri child-srcランダムに生成されたノンセは、CSPヘッダーとインラインスクリプトタグの両方に含まれています。 form-actionframe-ancestorsハッシュベースの保護：plugin-types

サーバーは、CSPヘッダーに含まれるスクリプト/スタイルブロックのハッシュを計算します。ブラウザは、実行前にこのハッシュを検証します 結論：

監(jiān)視が促進され、レベル2はさらに改良を導入します。 CSPの実裝は、堅牢で安全なWebアプリケーションを構築する上で重要なステップです。 （注：畫像プレースホルダーは、要求されているように変更されていません。）