コンテンツ・セキュリティー・ポリシー(CSP)
Tauri は HTML ページの コンテンツ・セキュリティ・ポリシー(CSP)を制限します。 これを使用すると、クロス・サイト・スクリプティング(XSS)のような一般的な Web ベースの脆弱性による影響を軽減または防止できます。
ローカル・スクリプトはハッシュ化され、スタイルと外部スクリプトは「ワンタイム暗号化乱数データ(nonce)」を使用して参照されますので、許可されていないコンテンツが読み込まれるのを防止できます。
CSP(コンテンツ・セキュリティ・ポリシー)による保護は、Tauri 設定ファイルに登録されている場合にのみ有効になります。 このため、できる限り対象を絞り、Webview が信頼できるホスト(できれば自分で所有するホスト)からのアセットのみを読み込むようにする必要があります。 コンパイル時に、Tauri は、バンドルされたコードとアセットに対して、関連する CSP 属性へ nonce 値とハッシュ値を自動的に追加するため、自分で考慮する必要があるのはアプリケーションに固有のものだけになります。
次の CSP 設定例は、Tauri の api
事例から抜粋したものです。
アプリケーション開発者は、この内容を各自のアプリケーションのニーズに合わせて調整する必要があります。
"csp": { "default-src": "'self' customprotocol: asset:", "connect-src": "ipc: http://ipc.localhost", "font-src": ["https://fonts.gstatic.com"], "img-src": "'self' asset: http://asset.localhost blob: data:", "style-src": "'unsafe-inline' 'self' https://fonts.googleapis.com" },
この CSP(コンテンツ・セキュリティ・ポリシー)による保護方式の詳細については、script-src
、style-src
、および CSP Sources を参照してください。
【※ この日本語版は、「Feb 22, 2025 英語版」に基づいています】
© 2025 Tauri Contributors. CC-BY / MIT