Content Security Policy(CSP) ではHTTPヘッダや<meta>要素に定義を記述し、さまざまな条件でコンテンツに制約をかけることができます。 そのCSPの中でも実際に制約をかけずにテストして、その結果を特定のURLにPOSTする Content-Security-Policy-Report-Only という仕組みがあります。 CSPにはHTTPSではない画像やJavaScriptを読み込めなくする制約も設定できるので、HTTPからHTTPSに移行する際などに役立ちます。 例えば、リソースはすべてHTTPSから読み込まないと行けないというCSPの設定は次のようにかけます。 実際にこのCSPをHTTPレスポンスヘッダに設定するとCSPに対応しているブラウザは、HTTPSではない画像やJavaScriptなどをブロックします。 実際にブロックされると使えなくなって困るの
サイトをHTTPSにする 2018年7月に公開されるChrome 68でHTTPなサイトは”Not Secure”と表示されるようになるので、このサイトもHTTPS化することにしました。 Google Online Security Blog: A secure web is here to stay 個人的なサイトなので適当にやってもいいですが、一応ちゃんと追跡できる方法を使ってHTTPS化することにしました。 この記事では次のことを目標しました。 https化後にhttpでアクセスしているリソースがないことをツールで確認できる 要はMixed Contentがないことを検知する方法をもつ 常時HTTPSでアクセスできるようにする Content-Security-Policy-Report-Only このサイトはJekyll + GitHub Pagesで動いている(動いていた)静的サ
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
