セキュリティ
CSP(Content Security Policy)でインラインスクリプトの実行を禁止する設定として正しいものはどれか。
ア.script-src 'self' 'unsafe-inline'
イ.script-src 'none'
ウ.script-src 'self'('unsafe-inline'を含めない)正解
エ.default-src 'unsafe-inline'
解説
CSPの'unsafe-inline'は「危険な許可証」。この許可証を発行しなければ(script-srcに含めない)、インラインスクリプトは実行できなくなる。
なぜ ウ が正解か
script-srcに'unsafe-inline'を含めないことで、HTMLに直接書かれたインラインスクリプト(<script>タグ内のコード、onclickなどのイベントハンドラ)の実行がブロックされる。'self'だけを指定した場合は同一オリジンの外部JSファイルのみ許可される。
出典: AI生成問題(学習用)