ITパスポート|IT全般
CSP(コンテンツセキュリティポリシー)とは?自分ごと体験で覚えるITパスポート対策
ITパスポート対策 / 読了:約3分
🎬 こんなシーン、想像してみて
Webセキュリティ担当の自分。「XSS対策に自社ドメイン以外のJS実行を一切させない」設定をHTTPヘッダーで。CORS?
❓ 2問問題:あなたならどっち?
次の状況に当てはまるのは?
- ✅ Content-Security-Policy(CSP)ヘッダーで許可スクリプトの出所を制限する
- ❌ CORS設定で他ドメインからのリクエストを拒否する→ CORSはAPIリクエスト制御。「スクリプト実行元制限」がCSP
✅ 正解:Content-Security-Policy(CSP)ヘッダーで許可スクリプトの出所を制限する
📘 CSP(コンテンツセキュリティポリシー)とは何か
ブラウザのスクリプト実行元ホワイトリストCSP(Content Security Policy)は、ブラウザに対して「どのオリジンのスクリプト・スタイルシート・画像を読み込んでよいか」を指示するHTTPヘッダー。XSSの被害を限定的にする多層防御の一つ。
🎯 試験のキモ
試験では「CSP=XSS緩和策」「CORS=API間通信の許可制御」の区別が頻出。両方ともHTTPヘッダーで設定するため混同しやすい。 **覚え方** 🎯 **CSP(XSS対策・スクリプト元制限)/CORS(API許可制御)**。両方ヘッダ設定だが目的別。
⚠️ 間違いやすいポイント
CSPはXSSの「発生を防ぐ」のではなく「被害を限定する」緩和策である点が試験で問われる。XSS発生自体を防ぐのは入力値検証やサニタイジング。CORSはブラウザが他オリジンへのリクエストを許可するか制御するもので、CSPのスクリプト読み込み元制限とは目的が異なる。
🧠 覚え方
**CSP(XSS対策・スクリプト元制限)/CORS(API許可制御)**。両方ヘッダ設定だが目的別。
📚 ITパスポートの試験対策・勉強方法
CSP(コンテンツセキュリティポリシー)はITパスポートのIT全般分野で頻出(mid)。ITパスポート 過去問・勉強方法・独学・何時間に取り組むなら、自分ごとシナリオで一度体験してから問題を解くのが定着の鍵。何度も繰り返して覚え方フレーズを口に出すと記憶に残りやすい。
知識をクイズで確認しよう!
🏆 用語4択チャレンジ →