Content Security Policy を設定する際に留意すべきポイントはありますか?
HTTP の Content-Security-Policy レスポンスヘッダーを設定する際には、PowerCMS 管理画面の利用については以下の点をご留意ください。
まず、「default-src ‘none’」を指定すると、CSSが読み込めなくなる可能性があるため、「default-src ‘self’」を指定してください。 また、インラインのスタイルシートや JavaScript があるため「unsafe-inline」「unsafe-eval」の設定が必要です。以下は Apache での設定例です。
Header always set Content-Security-Policy "default-src 'self' 'unsafe-inline' 'unsafe-eval'"
公開サイトを対象に設定する場合はサイトにあわせて設定内容を調整してください。
