SEOツール

無料静的サイト向けCSPポリシージェネレーター

CDN、アナリティクス、フォント、埋め込みオプション付きの静的サイト向けContent-Security-Policyヘッダーを生成します。

ツールを読み込み中...

静的サイト向けCSPポリシージェネレーターとは

Content-Security-Policy（CSP）は、ページがロードを許可されるリソースを制御するブラウザセキュリティヘッダーです。クロスサイトスクリプティング、データインジェクション、その他のコードインジェクション攻撃を防ぐのに役立ちます。静的サイトの場合、ほとんどの静的ページが予測可能な管理されたオリジンからリソースをロードするため、CSPヘッダーはシンプルかつ保守的にできます。

クイックアンサー

Content Security Policyは、ブラウザがロードできるリソースを制限することで、クロスサイトスクリプティングやデータインジェクション攻撃をブロックします。制限的なポリシーから始めて、必要に応じて拡大してください。

Last updated: 2026-05-25

制限事項

CSPはサーバーサイドの脆弱性や、ポリシーに既に含まれている侵害されたサードパーティライブラリを保護しません。
インラインイベントハンドラやjavascript: URLは、'unsafe-inline'またはハッシュ/ノンスが設定されていない限りブロックされます。
GitHub PagesはカスタムHTTPヘッダーをサポートしていないため、メタタグベースのCSPを使用しますが、HTTPヘッダーと比較してサポートされるディレクティブが限られています。

Sources:MDN Web Docs · W3C Specifications · jquery.app on GitHub

使い方

サイトタイプに合ったプリセットを選択します：静的、CDN使用、アナリティクス使用、埋め込みコンテンツ使用。
生成されたディレクティブを確認し、サイトに必要な追加ソースを切り替えます。
CSPヘッダーをホスティング設定またはメタタグとしてコピーします。
最初にreport-onlyバージョンをデプロイし、ブラウザコンソールで違反を確認してから適用します。

主な用途

外部リソースのないプレーンなHTML静的サイトに保守的なCSPを作成する。
Google Fonts、Bootstrap CDN、Google Analyticsのスクリプトとフォントソースを追加する。
ホスティングオリジンを考慮したGitHub Pages用のCSPを準備する。

用途

使用例

例

プレーンな静的サイトのCSP

CDN、アナリティクス、埋め込みのない手書きHTMLサイトに、すべてのリソースタイプで自社オリジンのみを許可する最小限のCSPを設定します。

例

CDNとアナリティクスを使用する静的サイトのCSP

CSSフレームワークCDN、Google Fonts、Google Analyticsを使用するサイトに、それらのオリジンを許可しながら他のすべてをブロックするCSPを設定します。

よくあるミス

report-onlyモードでテストせずにenforceモードでCSPをデプロイし、正当なリソースが壊れる原因になる。
スクリプトに'unsafe-inline'を使用し、それがCSPが提供するXSS防御のほとんどを無効にすることを理解していない。
GitHub PagesのプレビュードメインやCDNオリジンをポリシーに追加し忘れ、デプロイ時にサイトが壊れる。

検証

Content-Security-Policy-Report-Onlyを使用してCSPを最初にreport-onlyモードでデプロイし、ブラウザコンソールで違反レポートを確認する。
正当なリソースがブロックされていないことを確認してから、enforceヘッダーに切り替える。

比較

CSP vs Permissions-Policy vs Referrer-Policy

Aspect	Content-Security-Policy	Permissions-Policy	Referrer-Policy
What it controls	Which resources (scripts, styles, images, fonts) the page can load and from which origins	Which browser features (camera, microphone, geolocation, payment) the page can access	How much referrer information is sent when the page navigates to or loads a resource from another origin
Example directives	default-src 'self'; script-src 'self' cdn.example.com; img-src *	camera=(), geolocation=(self), fullscreen=*	strict-origin-when-cross-origin, no-referrer, same-origin
Delivered as header or meta	Both. HTTP header is preferred. Meta tag works but does not support frame-ancestors or report-uri.	HTTP header only. Meta tag is not supported for Permissions-Policy.	Both. Meta tag works and is commonly used for static pages.
What happens if misconfigured	Resources are blocked. The page may appear broken with missing styles, scripts, or images.	Features silently fail. JavaScript calls to blocked APIs throw without visible browser UI.	Referrer data is sent with unintended detail or is missing when analytics need it.

CSP controls resource loading, Permissions-Policy controls feature access, and Referrer-Policy controls referrer data sent to other origins. They are complementary security headers that serve different purposes.

FAQ

静的サイト向けCSPポリシージェネレーターのFAQ

CSPはメタタグとして配信できますか？

はい。ページのheadに<meta http-equiv="Content-Security-Policy" content="...">を使用します。ただし、frame-ancestorsやreport-uriなどの一部のディレクティブはメタタグでは機能しないことに注意してください。

report-onlyモードから始めるべきですか？

はい。最初にContent-Security-Policy-Report-Onlyでデプロイし、ブラウザコンソールで違反を監視してポリシーを調整し、予期しない違反が表示されなくなってからenforceモードに切り替えてください。

静的サイトの最も安全なdefault-srcは何ですか？

default-src 'self'は実用的な開始点です。同一オリジンからのリソースを許可し、その他すべてをブロックします。CDN、フォント、アナリティクスに必要な特定のオリジンを必要に応じて追加します。

CSPでGoogle Analytics、Google Fonts、CDNを許可するにはどうすればよいですか？

関連するディレクティブに特定のオリジンを追加します。Google Analyticsの場合：script-src https://www.googletagmanager.com と connect-src https://www.google-analytics.com。Google Fontsの場合：style-src https://fonts.googleapis.com と font-src https://fonts.gstatic.com。cdnjsのようなCDNの場合：script-src https://cdnjs.cloudflare.com。最初にreport-onlyモードでデプロイして、サイトが読み込む追加のサードパーティオリジンを適用前に確認できます。