タグ

#CSP

Security Hardened
Laravel で Content-Security-Policy を実装する

Content-Security-Policy（CSP）は、XSS（クロスサイトスクリプティング）の被害をブラウザ側で食い止める最後の防御層。サーバーが「このページで実行してよいスクリプト・読み込んでよいリソースはこれだけ」と宣言し、ブラウザがそれ以外を拒否する。

2026-04-19
Security Hardened
Laravel + Livewire Starter Kit の CSP を nonce 化

Livewire Starter Kit の Docker 検証・改良版フォークで組んだ SetSecurityHeaders middleware は、Content-Security-Policy の script-src / style-src に 'unsafe-inline' を残していた。これは React / Vue 変種と揃えるための暫定措置で、Livewire 変種では実際には不要と前回の記事でも予告した通り。本記事ではその予告を回収する作業ログと、最…

Laravel · 2026-04-19