Content-Security-Policy

HTTP の Content-Security-Policy レスポンスヘッダーは、ウェブサイト管理者が、あるページにユーザーエージェントが読み込みを許可されたリソースを管理できるようにします。いくつかの例外を除いて、大半のポリシーにはサーバーオリジンとスクリプトエンドポイントの指定を含んでいます。これはクロスサイトスクリプティング攻撃 (XSS) を防ぐのに役立ちます。

より詳細な情報は、Content Security Policy (CSP) の導入記事を参照してください。

ヘッダー種別 レスポンスヘッダー
禁止ヘッダー名 いいえ

構文

Content-Security-Policy: <policy-directive>; <policy-directive>

ディレクティブ

フェッチディレクティブ

フェッチディレクティブは、特定のリソース種別がロードされうる場所を制御します。

Content Security Policy フェッチディレクティブの一覧

child-src
ウェブワーカーと、<frame><iframe> のような要素によってロードされる入れ子状の閲覧コンテキストに対する有効なソースを定義します。

複合した閲覧コンテキストやワーカーを制御するには、それぞれ frame-src および worker-srcchild-src の代わりに使用してください。

connect-src
script インターフェイスによってロードされる URL を制限します。
default-src
別の Fetch ディレクティブに対する代替として提供します。
font-src
@font-face によってロードされるフォントに対する有効なソースを指定します。
frame-src
<frame><iframe> のような要素によってロードされる入れ子状のコンテンツの閲覧に対する有効なソースを指定します。
img-src
画像や favicon に対する有効なソースを定義します。
manifest-src
アプリケーションのマニフェストファイルに対する有効なソースを指定します。
media-src
<audio><video><track> 要素によってロードするメディアに対する有効なソースを指定します。
object-src
<object><embed><applet> 要素に対する有効なソースを指定します。
object-src で制御される要素は、おそらく古い HTML 要素に該当すると見なされ、新しい標準機能が利用できません (セキュリティ属性の sandbox<iframe>allow など)。従って、このフェッチディレクティブで制限を掛けることが推奨されます (例えば、可能であれば object-src 'none' を設定するなど)。
prefetch-src
事前にフェッチされるか描画される有効なソースを指定します。
script-src
JavaScript に対する有効なソースを指定します。
script-src-elem
JavaScript の <script> 要素に対する有効なソースを指定します。
script-src-attr
JavaScript のインラインイベントハンドラーに対する有効なソースを指定します。
style-src
スタイルシートに対する有効なソースを指定します。
style-src-elem
スタイルシートの <style> および <link> 要素に rel="stylesheet" がついたもののに対する有効なソースを指定します。
style-src-attr
個々の DOM 要素に適用されるインラインスタイルの有効なソースを指定します。
worker-src
Worker, SharedWorker, ServiceWorker スクリプトに対する有効なソースを指定します。

文書ディレクティブ

文書ディレクティブは、ポリシーが適用される文書もしくは Worker 環境のプロパティを管理します。

Content Security Policy 文書ディレクティブの一覧

base-uri
文書の <base> 要素で使用される URL を制限します。
plugin-types
ロードされるリソースのタイプを限定することで、文書に埋め込まれるプラグインの組を制限します。
sandbox
<iframe>sandbox 属性に類似した要求リソースに対してサンドボックスを有効にします。

ナビゲーションディレクティブは、例えばユーザーが移動する場所やフォームを送信する場所を管理します。

Content Security Policy ナビゲーションディレクティブの一覧

form-action
指定のコンテキストからフォームの送信先として使用される URL を制限します。
frame-ancestors
<frame>, <iframe>, <object>, <embed>, もしくは <applet> によってページに埋め込まれた有効な親を指定します。
navigate-to
<form> (form-action が指定されていない場合), <a>, window.location, window.open, など、あらゆる方法で文書からナビゲーションを行うことができる URL を制限します。

報告ディレクティブ

報告ディレクティブは CSP 違反の報告過程を制御します。Content-Security-Policy-Report-Only ヘッダーも参照してください。

Content Security Policy 報告ディレクティブの一覧

report-uri
ユーザーエージェントにコンテンツセキュリティポリシーの違反を報告するよう指示します。これらの違反の報告は、JSON 文書を HTTP の POST リクエストで指定された URI に送信することで行われます。

report-to ディレクティブは非推奨の report-uri ディレクティブを置き換えることを意図していますが、report-to はまだ多くのブラウザーで対応されていません。そのため、ブラウザーで report-to の対応が行われるまでは現在のブラウザーとの互換性のため、report-uri および report-to の両方を指定することができます。

Content-Security-Policy: ...; report-uri https://endpoint.example.com; report-to groupname

report-to に対応したブラウザーでは、report-uri ディレクティブは無視されます。

report-to
SecurityPolicyViolationEvent を発生させます。

その他のディレクティブ

block-all-mixed-content
ページが HTTPS を使用して読み込まれた際に、HTTP を使用して資産を読み込むことを防止します。
referrer
ページから離れる際の Referer ヘッダー内の情報を指定するために使用されていました。代わりに Referrer-Policy ヘッダーを使用してください。
require-sri-for
ページ上のスクリプトやスタイルに SRI の使用を要求します。
require-trusted-types-for
DOM XSS インジェクションの宛先に Trusted Types を強制します。
trusted-types
Trusted Types ポリシー (Trusted Types はallows アプリケーションが DOM XSS インジェクションの宛先に、スプーフ不可な、文字列の形のタイプ値を限定することを許可します)のホワイトリストを指定するのに使います。
upgrade-insecure-requests
ユーザーエージェントに、全サイトの非セキュアな URLs (HTTP経由のもの) をセキュアな URLs (HTTPS経由のもの)に置き換えるよう指示します。このディレクティブは、大量に書き換えが必要な、非セキュアなレガシーURLがあるウェブサイト用に考えられています。

Worker 内の CSP

Worker は、一般的に文書 (もしくは親 Worker) の Content Security Policy によって管理されません。Worker に対する Content Security Policy を指定するには、Worker スクリプト自身が要求したリクエストに対して Content-Security-Policy レスポンスヘッダーを設定して下さい。

Worker スクリプトのオリジンがグローバルで一意の識別子の場合、(例えば、URL がデータやブロブのスキーマの場合)、例外に当たります。この場合、Worker は文書もしくは作成元の Worker の Content Security Policy を継承します。

複数の CSP

CSP では、Content-Security-Policy ヘッダー、Content-Security-Policy-Report-Only ヘッダーや <meta> 要素を経由したものを含む、リソースに対して複数のポリシーを指定することができます。

 Content-Security-Policy ヘッダーを、下記の例のように2回以上使うことができます。ここに connect-src ディレクティブがあるのに注意してください。たとえ2つ目のポリシーが接続許可していても、最初のポリシーには connect-src 'none'があります。ポリシー追加しても、保護されるリソースの能力をさらに制限するだけです。つまり、connect-src 'none' という厳しいポリシーが強化されるため、許可された接続はないということです。

Content-Security-Policy: default-src 'self' http://example.com;
                         connect-src 'none';
Content-Security-Policy: connect-src http://example.com/;
                         script-src http://example.com/

例: 安全でない inline/eval を無効にし、https 経由でのリソース (画像、フォント、スクリプトなど) のロードを許します。

// ヘッダー
Content-Security-Policy: default-src https:

// メタタグ
<meta http-equiv="Content-Security-Policy" content="default-src https:">

例: 修正のためにインラインコードを多用している既存のサイトで、https 経由でのみロードされるリソースを明確にし、プラグインを無効にします。

Content-Security-Policy: default-src https: 'unsafe-eval' 'unsafe-inline'; object-src 'none'

例: 上記のポリシーを実装せず、代わりに、発生するであろう違反を報告します。

Content-Security-Policy-Report-Only: default-src https:; report-uri /csp-violation-report-endpoint/

その他の例は、Mozilla Web Security Guidelines を参照して下さい。

仕様書

仕様書 状態 備考
Content Security Policy Level 3 草案 manifest-src, navigate-to, report-to, strict-dynamic, worker-src を追加。frame-src の非推奨を解除。report-urireport-to の代わりに非推奨化。
Mixed Content 勧告候補 block-all-mixed-content を追加。
Subresource Integrity 勧告 require-sri-for を追加。
Upgrade Insecure Requests 勧告候補 upgrade-insecure-requests を追加。
Content Security Policy Level 2 勧告 base-uri, child-src, form-action, frame-ancestors, plugin-types, referrer, report-uri を追加。frame-src を非推奨化。
Content Security Policy 1.0 廃止された connect-src, default-src, font-src, frame-src, img-src, media-src, object-src, report-uri, sandbox, script-src,, style-src を定義。

ブラウザーの互換性

Update compatibility data on GitHub
デスクトップモバイル
ChromeEdgeFirefoxInternet ExplorerOperaSafariAndroid webviewAndroid 版 ChromeAndroid 版 FirefoxAndroid 版 OperaiOSのSafariSamsung Internet
Content-Security-PolicyChrome 完全対応 25
完全対応 25
完全対応 14
代替名
代替名 非標準の名前 X-Webkit-CSP を使用しています。
Edge 完全対応 14Firefox 完全対応 23
完全対応 23
完全対応 4
代替名
代替名 非標準の名前 X-Content-Security-Policy を使用しています。
IE 完全対応 10
補足 代替名
完全対応 10
補足 代替名
補足 Only supporting 'sandbox' directive.
代替名 非標準の名前 X-Content-Security-Policy を使用しています。
Opera 完全対応 15Safari 完全対応 7
完全対応 7
完全対応 6
代替名
代替名 非標準の名前 X-Webkit-CSP を使用しています。
WebView Android 完全対応 ありChrome Android 完全対応 ありFirefox Android 完全対応 23Opera Android 完全対応 ありSafari iOS 完全対応 7
完全対応 7
完全対応 5.1
補足
補足 X-Webkit-CSP
Samsung Internet Android 完全対応 あり
base-uriChrome 完全対応 40Edge 未対応 なしFirefox 完全対応 35IE 未対応 なしOpera 完全対応 27Safari 完全対応 10WebView Android 完全対応 ありChrome Android 完全対応 ありFirefox Android 完全対応 35Opera Android ? Safari iOS 完全対応 9.3Samsung Internet Android 完全対応 あり
block-all-mixed-contentChrome 完全対応 ありEdge ? Firefox 完全対応 48IE 未対応 なしOpera 完全対応 ありSafari ? WebView Android 完全対応 ありChrome Android 完全対応 ありFirefox Android 完全対応 48Opera Android ? Safari iOS ? Samsung Internet Android 完全対応 あり
child-srcChrome 完全対応 40Edge 完全対応 15Firefox 完全対応 45IE 未対応 なしOpera 完全対応 27Safari 完全対応 10WebView Android 完全対応 ありChrome Android 完全対応 ありFirefox Android 完全対応 45Opera Android ? Safari iOS 完全対応 9.3Samsung Internet Android 完全対応 あり
connect-srcChrome 完全対応 25Edge 完全対応 14Firefox 完全対応 23
補足
完全対応 23
補足
補足 Prior to Firefox 50, ping attributes of <a> elements weren't covered by connect-src.
IE 未対応 なしOpera 完全対応 15Safari 完全対応 7WebView Android 完全対応 ありChrome Android 完全対応 ありFirefox Android 完全対応 23Opera Android ? Safari iOS 完全対応 7Samsung Internet Android 完全対応 あり
default-srcChrome 完全対応 25Edge 完全対応 14Firefox 完全対応 23IE 未対応 なしOpera 完全対応 15Safari 完全対応 7WebView Android 完全対応 ありChrome Android 完全対応 ありFirefox Android 完全対応 23Opera Android ? Safari iOS 完全対応 7Samsung Internet Android 完全対応 あり
font-srcChrome 完全対応 25Edge 完全対応 14Firefox 完全対応 23IE 未対応 なしOpera 完全対応 15Safari 完全対応 7WebView Android 完全対応 ありChrome Android 完全対応 ありFirefox Android 完全対応 23Opera Android ? Safari iOS 完全対応 7Samsung Internet Android 完全対応 あり
form-actionChrome 完全対応 40Edge 完全対応 15Firefox 完全対応 36IE 未対応 なしOpera 完全対応 27Safari 完全対応 10WebView Android 完全対応 ありChrome Android 完全対応 ありFirefox Android 完全対応 36Opera Android ? Safari iOS 完全対応 9.3Samsung Internet Android 完全対応 あり
frame-ancestorsChrome 完全対応 40Edge 完全対応 15Firefox 完全対応 33
補足
完全対応 33
補足
補足 Before Firefox 58, frame-ancestors is ignored in Content-Security-Policy-Report-Only.
IE 未対応 なしOpera 完全対応 26Safari 完全対応 10WebView Android ? Chrome Android 完全対応 ありFirefox Android 完全対応 33
補足
完全対応 33
補足
補足 Before Firefox for Android 58, frame-ancestors is ignored in Content-Security-Policy-Report-Only.
Opera Android ? Safari iOS 完全対応 9.3Samsung Internet Android 完全対応 あり
frame-srcChrome 完全対応 25Edge 完全対応 14Firefox 完全対応 23IE 未対応 なしOpera 完全対応 15Safari 完全対応 7WebView Android 完全対応 ありChrome Android 完全対応 ありFirefox Android 完全対応 23Opera Android ? Safari iOS 完全対応 7Samsung Internet Android 完全対応 あり
img-srcChrome 完全対応 25Edge 完全対応 14Firefox 完全対応 23IE 未対応 なしOpera 完全対応 15Safari 完全対応 7WebView Android 完全対応 ありChrome Android 完全対応 ありFirefox Android 完全対応 23Opera Android ? Safari iOS 完全対応 7Samsung Internet Android 完全対応 あり
manifest-srcChrome 完全対応 ありEdge 未対応 なしFirefox 完全対応 41IE 未対応 なしOpera 完全対応 ありSafari 未対応 なしWebView Android 完全対応 ありChrome Android 完全対応 ありFirefox Android 完全対応 41Opera Android ? Safari iOS 未対応 なしSamsung Internet Android 完全対応 あり
media-srcChrome 完全対応 25Edge 完全対応 14Firefox 完全対応 23IE 未対応 なしOpera 完全対応 15Safari 完全対応 7WebView Android 完全対応 ありChrome Android 完全対応 ありFirefox Android 完全対応 23Opera Android ? Safari iOS 完全対応 7Samsung Internet Android 完全対応 あり
<meta> element supportChrome 完全対応 ありEdge 完全対応 ありFirefox 完全対応 45IE 未対応 なしOpera 完全対応 ありSafari 完全対応 ありWebView Android 完全対応 ありChrome Android 完全対応 ありFirefox Android 完全対応 45Opera Android 完全対応 ありSafari iOS 完全対応 ありSamsung Internet Android 完全対応 あり
navigate-to
実験的
Chrome 未対応 なしEdge 未対応 なしFirefox 未対応 なしIE 未対応 なしOpera 未対応 なしSafari 未対応 なしWebView Android 未対応 なしChrome Android 未対応 なしFirefox Android 未対応 なしOpera Android 未対応 なしSafari iOS 未対応 なしSamsung Internet Android 未対応 なし
object-srcChrome 完全対応 25Edge 完全対応 14Firefox 完全対応 23IE 未対応 なしOpera 完全対応 15Safari 完全対応 7WebView Android 完全対応 ありChrome Android 完全対応 ありFirefox Android 完全対応 23Opera Android ? Safari iOS 完全対応 7Samsung Internet Android 完全対応 あり
plugin-typesChrome 完全対応 40Edge 完全対応 15Firefox 未対応 なし
補足
未対応 なし
補足
補足 See bug 1045899.
IE 未対応 なしOpera 完全対応 27Safari 完全対応 10WebView Android 完全対応 ありChrome Android 完全対応 ありFirefox Android 未対応 なしOpera Android ? Safari iOS 完全対応 9.3Samsung Internet Android 完全対応 あり
prefetch-src
実験的
Chrome 未対応 なし
補足
未対応 なし
補足
補足 See bug 801561.
Edge 未対応 なしFirefox 未対応 なし
補足
未対応 なし
補足
補足 See bug 1457204.
IE 未対応 なしOpera 未対応 なしSafari 未対応 なし
補足
未対応 なし
補足
補足 See bug 185070.
WebView Android 未対応 なし
補足
未対応 なし
補足
補足 See bug 801561.
Chrome Android 未対応 なし
補足
未対応 なし
補足
補足 See bug 801561.
Firefox Android 未対応 なし
補足
未対応 なし
補足
補足 See bug 1457204.
Opera Android 未対応 なしSafari iOS 未対応 なし
補足
未対応 なし
補足
補足 See bug 185070.
Samsung Internet Android 未対応 なし
referrer
非推奨非標準
Chrome 未対応 33 — 56Edge 未対応 なしFirefox 未対応 37 — 62IE 未対応 なしOpera 未対応 ? — 43Safari 未対応 なしWebView Android 未対応 4.4.3 — 56Chrome Android 未対応 33 — 56Firefox Android 未対応 37 — 62Opera Android 未対応 ? — 43Safari iOS 未対応 なしSamsung Internet Android 未対応 2.0 — 6.0
report-sample
実験的
Chrome 完全対応 59Edge ? Firefox ? IE ? Opera 完全対応 46Safari ? WebView Android 完全対応 59Chrome Android 完全対応 59Firefox Android ? Opera Android 完全対応 43Safari iOS ? Samsung Internet Android 完全対応 7.0
report-toChrome 完全対応 70Edge 未対応 なしFirefox 未対応 なしIE 未対応 なしOpera 未対応 なしSafari 未対応 なしWebView Android 完全対応 70Chrome Android 完全対応 70Firefox Android 未対応 なしOpera Android 未対応 なしSafari iOS 未対応 なしSamsung Internet Android 完全対応 10.0
report-uri
非推奨
Chrome 完全対応 25Edge 完全対応 14Firefox 完全対応 23IE 未対応 なしOpera 完全対応 15Safari 完全対応 7WebView Android 完全対応 ありChrome Android 完全対応 ありFirefox Android 完全対応 23Opera Android ? Safari iOS 完全対応 7Samsung Internet Android 完全対応 あり
require-sri-for
実験的非推奨非標準
Chrome 完全対応 54Edge 未対応 なしFirefox 未対応 49 — 68
無効
未対応 49 — 68
無効
無効 From version 49 until version 68 (exclusive): this feature is behind the security.csp.experimentalEnabled preference (needs to be set to true). To change preferences in Firefox, visit about:config.
IE 未対応 なしOpera 完全対応 41Safari 未対応 なしWebView Android 完全対応 54Chrome Android 完全対応 54Firefox Android 未対応 49 — 68
無効
未対応 49 — 68
無効
無効 From version 49 until version 68 (exclusive): this feature is behind the security.csp.experimentalEnabled preference (needs to be set to true). To change preferences in Firefox, visit about:config.
Opera Android 完全対応 41Safari iOS 未対応 なしSamsung Internet Android 完全対応 6.0
sandboxChrome 完全対応 25Edge 完全対応 14Firefox 完全対応 50IE 完全対応 10Opera 完全対応 15Safari 完全対応 7WebView Android 完全対応 ありChrome Android 完全対応 ありFirefox Android 完全対応 50Opera Android ? Safari iOS 完全対応 7Samsung Internet Android 完全対応 あり
script-srcChrome 完全対応 25Edge 完全対応 14Firefox 完全対応 23IE 未対応 なしOpera 完全対応 15Safari 完全対応 7WebView Android 完全対応 ありChrome Android 完全対応 ありFirefox Android 完全対応 23Opera Android ? Safari iOS 完全対応 7Samsung Internet Android 完全対応 あり
script-src-attr
実験的
Chrome 完全対応 75Edge 未対応 なしFirefox 未対応 なし
補足
未対応 なし
補足
補足 See bug 1529337.
IE 未対応 なしOpera 完全対応 62Safari 未対応 なしWebView Android 完全対応 75Chrome Android 完全対応 75Firefox Android 未対応 なし
補足
未対応 なし
補足
補足 See bug 1529337.
Opera Android ? Safari iOS 未対応 なしSamsung Internet Android 未対応 なし
script-src-elem
実験的
Chrome 完全対応 75Edge 未対応 なしFirefox 未対応 なし
補足
未対応 なし
補足
補足 See bug 1529337.
IE 未対応 なしOpera 完全対応 62Safari 未対応 なしWebView Android 完全対応 75Chrome Android 完全対応 75Firefox Android 未対応 なし
補足
未対応 なし
補足
補足 See bug 1529337.
Opera Android ? Safari iOS 未対応 なしSamsung Internet Android 未対応 なし
strict-dynamicChrome 完全対応 52Edge 未対応 なしFirefox 完全対応 52IE 未対応 なしOpera 完全対応 39Safari 未対応 なしWebView Android 完全対応 52Chrome Android 完全対応 52Firefox Android 未対応 なしOpera Android 完全対応 41Safari iOS 未対応 なしSamsung Internet Android 完全対応 6.0
style-srcChrome 完全対応 25Edge 完全対応 14Firefox 完全対応 23IE 未対応 なしOpera 完全対応 15Safari 完全対応 7WebView Android 完全対応 ありChrome Android 完全対応 ありFirefox Android 完全対応 23Opera Android ? Safari iOS 完全対応 7Samsung Internet Android 完全対応 あり
style-src-attr
実験的
Chrome 完全対応 75Edge 未対応 なしFirefox 未対応 なし
補足
未対応 なし
補足
補足 See bug 1529338.
IE 未対応 なしOpera 完全対応 62Safari 未対応 なしWebView Android 完全対応 75Chrome Android 完全対応 75Firefox Android 未対応 なし
補足
未対応 なし
補足
補足 See bug 1529338.
Opera Android ? Safari iOS 未対応 なしSamsung Internet Android 未対応 なし
style-src-elem
実験的
Chrome 完全対応 75Edge 未対応 なしFirefox 未対応 なし
補足
未対応 なし
補足
補足 See bug 1529338.
IE 未対応 なしOpera 完全対応 62Safari 未対応 なしWebView Android 完全対応 75Chrome Android 完全対応 75Firefox Android 未対応 なし
補足
未対応 なし
補足
補足 See bug 1529338.
Opera Android ? Safari iOS 未対応 なしSamsung Internet Android 未対応 なし
trusted-types
実験的
Chrome ?
?
未対応 73 — 76
無効
無効 From version 73 until version 76 (exclusive): this feature is behind the #enable-experimental-productivity-features preference (needs to be set to Enabled). To change preferences in Chrome, visit chrome://flags.
Edge 未対応 なしFirefox 未対応 なしIE 未対応 なしOpera 未対応 なしSafari 未対応 なしWebView Android 未対応 なしChrome Android ?
?
未対応 73 — 76
無効
無効 From version 73 until version 76 (exclusive): this feature is behind the #enable-experimental-productivity-features preference (needs to be set to Enabled). To change preferences in Chrome, visit chrome://flags.
Firefox Android 未対応 なしOpera Android 未対応 なしSafari iOS 未対応 なしSamsung Internet Android 未対応 なし
unsafe-hashesChrome 完全対応 69Edge 未対応 なしFirefox 未対応 なし
補足
未対応 なし
補足
補足 See bug 1343950.
IE 未対応 なしOpera 完全対応 56Safari 未対応 なしWebView Android 完全対応 69Chrome Android 完全対応 69Firefox Android 未対応 なしOpera Android 完全対応 48Safari iOS 未対応 なしSamsung Internet Android 未対応 なし
upgrade-insecure-requestsChrome 完全対応 43Edge 完全対応 17Firefox 完全対応 42IE 未対応 なしOpera 完全対応 30Safari 完全対応 10.1WebView Android 完全対応 43Chrome Android 完全対応 43Firefox Android 完全対応 42Opera Android 完全対応 30Safari iOS 完全対応 10.3Samsung Internet Android 完全対応 4.0
Worker supportChrome 完全対応 ありEdge ? Firefox 完全対応 50IE 未対応 なしOpera ? Safari 未対応 なしWebView Android 完全対応 ありChrome Android 完全対応 ありFirefox Android 完全対応 50Opera Android ? Safari iOS 未対応 なしSamsung Internet Android 完全対応 あり
worker-srcChrome 完全対応 59
補足
完全対応 59
補足
補足 Chrome 59 and higher skips the deprecated child-src directive.
Edge 未対応 なしFirefox 完全対応 58IE 未対応 なしOpera 完全対応 48Safari 未対応 なしWebView Android 完全対応 59
補足
完全対応 59
補足
補足 Chrome 59 and higher skips the deprecated child-src directive.
Chrome Android 完全対応 59
補足
完全対応 59
補足
補足 Chrome 59 and higher skips the deprecated child-src directive.
Firefox Android 完全対応 58Opera Android 完全対応 45Safari iOS 未対応 なしSamsung Internet Android 完全対応 7.0

凡例

完全対応  
完全対応
未対応  
未対応
実装状況不明  
実装状況不明
実験的。動作が変更される可能性があります。
実験的。動作が変更される可能性があります。
非標準。ブラウザー間の互換性が低い可能性があります。
非標準。ブラウザー間の互換性が低い可能性があります。
非推奨。新しいウェブサイトでは使用しないでください。
非推奨。新しいウェブサイトでは使用しないでください。
実装ノートを参照してください。
実装ノートを参照してください。
ユーザーが明示的にこの機能を有効にしなければなりません。
ユーザーが明示的にこの機能を有効にしなければなりません。
非標準の名前を使用しています。
非標準の名前を使用しています。

関連情報

関連トピック
  1. HTTP
  2. Guides:
  3. Resources and URIs
    1. Identifying resources on the Web
    2. Data URIs
    3. Introduction to MIME Types
    4. Complete list of MIME Types
    5. Choosing between www and non-www URLs
  4. HTTP guide
    1. Basics of HTTP
    2. Overview of HTTP
    3. Evolution of HTTP
    4. HTTP Messages
    5. A typical HTTP session
    6. Connection management in HTTP/1.x
    7. Protocol upgrade mechanism
  5. HTTP security
    1. Content Security Policy (CSP)
    2. HTTP Public Key Pinning (HPKP)
    3. HTTP Strict Transport Security (HSTS)
    4. Cookie security
    5. X-Content-Type-Options
    6. X-Frame-Options
    7. X-XSS-Protection
    8. Mozilla web security guidelines
    9. Mozilla Observatory
  6. HTTP access control (CORS)
  7. HTTP authentication
  8. HTTP caching
  9. HTTP compression
  10. HTTP conditional requests
  11. HTTP content negotiation
  12. HTTP cookies
  13. HTTP range requests
  14. HTTP redirects
  15. HTTP specifications
  16. Feature policy
  17. References:
  18. HTTP headers
    1. Accept
    2. Accept-CH [翻訳する]
    3. Accept-CH-Lifetime [翻訳する]
    4. Accept-Charset
    5. Accept-Encoding
    6. Accept-Language
    7. Accept-Patch [翻訳する]
    8. Accept-Ranges
    9. Access-Control-Allow-Credentials
    10. Access-Control-Allow-Headers
    11. Access-Control-Allow-Methods
    12. Access-Control-Allow-Origin
    13. Access-Control-Expose-Headers
    14. Access-Control-Max-Age
    15. Access-Control-Request-Headers
    16. Access-Control-Request-Method
    17. Age
    18. Allow
    19. Alt-Svc [翻訳する]
    20. Authorization
    21. Cache-Control
    22. Clear-Site-Data
    23. Connection
    24. Content-Disposition
    25. Content-Encoding
    26. Content-Language
    27. Content-Length
    28. Content-Location
    29. Content-Range
    30. Content-Security-Policy
    31. Content-Security-Policy-Report-Only
    32. Content-Type
    33. Cookie
    34. Cookie2
    35. Cross-Origin-Resource-Policy [翻訳する]
    36. DNT
    37. DPR [翻訳する]
    38. Date
    39. Device-Memory [翻訳する]
    40. Digest [翻訳する]
    41. ETag
    42. Early-Data
    43. Expect
    44. Expect-CT
    45. Expires
    46. Feature-Policy
    47. Forwarded
    48. From
    49. Host
    50. If-Match
    51. If-Modified-Since
    52. If-None-Match
    53. If-Range
    54. If-Unmodified-Since
    55. 索引
    56. Keep-Alive
    57. Large-Allocation [翻訳する]
    58. Last-Modified
    59. Link [翻訳する]
    60. Location
    61. Origin
    62. Pragma
    63. Proxy-Authenticate
    64. Proxy-Authorization [翻訳する]
    65. Public-Key-Pins [翻訳する]
    66. Public-Key-Pins-Report-Only [翻訳する]
    67. Range
    68. Referer
    69. Referrer-Policy
    70. Retry-After
    71. Save-Data [翻訳する]
    72. Sec-WebSocket-Accept [翻訳する]
    73. Server
    74. Server-Timing
    75. Set-Cookie
    76. Set-Cookie2
    77. SourceMap
    78. Strict-Transport-Security
    79. TE [翻訳する]
    80. Timing-Allow-Origin [翻訳する]
    81. Tk
    82. Trailer [翻訳する]
    83. Transfer-Encoding
    84. Upgrade-Insecure-Requests [翻訳する]
    85. User-Agent
    86. Vary
    87. Via [翻訳する]
    88. WWW-Authenticate
    89. Want-Digest [翻訳する]
    90. Warning
    91. X-Content-Type-Options
    92. X-DNS-Prefetch-Control
    93. X-Forwarded-For
    94. X-Forwarded-Host
    95. X-Forwarded-Proto
    96. X-Frame-Options
    97. X-XSS-Protection
  19. HTTP request methods
    1. CONNECT
    2. DELETE
    3. GET
    4. HEAD
    5. OPTIONS
    6. PATCH
    7. POST
    8. PUT
    9. TRACE
  20. HTTP response status codes
    1. 100 Continue
    2. 101 Switching Protocols
    3. 103 Early Hints
    4. 200 OK
    5. 201 Created
    6. 202 Accepted
    7. 203 Non-Authoritative Information
    8. 204 No Content
    9. 205 Reset Content
    10. 206 Partial Content
    11. 300 Multiple Choices
    12. 301 Moved Permanently
    13. 302 Found
    14. 303 See Other
    15. 304 Not Modified
    16. 307 Temporary Redirect
    17. 308 Permanent Redirect
    18. 400 Bad Request
    19. 401 Unauthorized
    20. 402 Payment Required
    21. 403 Forbidden
    22. 404 Not Found
    23. 405 Method Not Allowed
    24. 406 Not Acceptable
    25. 407 Proxy Authentication Required
    26. 408 Request Timeout
    27. 409 Conflict
    28. 410 Gone
    29. 411 Length Required
    30. 412 Precondition Failed
    31. 413 Payload Too Large
    32. 414 URI Too Long
    33. 415 Unsupported Media Type
    34. 416 Range Not Satisfiable
    35. 417 Expectation Failed
    36. 418 I'm a teapot
    37. 422 Unprocessable Entity
    38. 425 Too Early
    39. 426 Upgrade Required
    40. 428 Precondition Required
    41. 429 Too Many Requests
    42. 431 Request Header Fields Too Large
    43. 451 Unavailable For Legal Reasons
    44. 500 Internal Server Error
    45. 501 Not Implemented
    46. 502 Bad Gateway
    47. 503 Service Unavailable
    48. 504 Gateway Timeout
    49. 505 HTTP Version Not Supported
    50. 506 Variant Also Negotiates [翻訳する]
    51. 507 Insufficient Storage [翻訳する]
    52. 508 Loop Detected
    53. 510 Not Extended [翻訳する]
    54. 511 Network Authentication Required
  21. CSP directives
    1. CSP: base-uri
    2. CSP: block-all-mixed-content
    3. CSP: child-src [翻訳する]
    4. CSP: connect-src
    5. CSP: default-src
    6. CSP: font-src [翻訳する]
    7. CSP: form-action [翻訳する]
    8. CSP: frame-ancestors [翻訳する]
    9. CSP: frame-src
    10. CSP: img-src
    11. CSP: manifest-src
    12. CSP: media-src
    13. CSP: navigate-to [翻訳する]
    14. CSP: object-src
    15. CSP: plugin-types
    16. CSP: prefetch-src
    17. CSP: referrer
    18. CSP: report-to
    19. CSP: report-uri [翻訳する]
    20. CSP: require-sri-for [翻訳する]
    21. CSP: sandbox
    22. CSP: script-src
    23. CSP: script-src-attr [翻訳する]
    24. CSP: script-src-elem [翻訳する]
    25. CSP: style-src [翻訳する]
    26. CSP: style-src-attr [翻訳する]
    27. CSP: style-src-elem [翻訳する]
    28. CSP: trusted-types [翻訳する]
    29. CSP: upgrade-insecure-requests
    30. CSP: worker-src
  22. CORS errors
    1. Reason: CORS disabled
    2. Reason: CORS header 'Access-Control-Allow-Origin' does not match 'xyz'
    3. Reason: CORS header 'Access-Control-Allow-Origin' missing
    4. Reason: CORS header ‘Origin’ cannot be added
    5. Reason: CORS preflight channel did not succeed
    6. Reason: CORS request did not succeed
    7. Reason: CORS request external redirect not allowed
    8. Reason: CORS request not HTTP
    9. Reason: Credential is not supported if the CORS header ‘Access-Control-Allow-Origin’ is ‘*’
    10. Reason: Did not find method in CORS header ‘Access-Control-Allow-Methods’
    11. Reason: Multiple CORS header 'Access-Control-Allow-Origin' not allowed
    12. Reason: expected ‘true’ in CORS header ‘Access-Control-Allow-Credentials’
    13. Reason: invalid token ‘xyz’ in CORS header ‘Access-Control-Allow-Headers’
    14. Reason: invalid token ‘xyz’ in CORS header ‘Access-Control-Allow-Methods’
    15. Reason: missing token ‘xyz’ in CORS header ‘Access-Control-Allow-Headers’ from CORS preflight channel
  23. Feature-Policy directives
    1. Feature-Policy: accelerometer [翻訳する]
    2. Feature-Policy: ambient-light-sensor [翻訳する]
    3. Feature-Policy: autoplay
    4. Feature-Policy: battery [翻訳する]
    5. Feature-Policy: camera
    6. Feature-Policy: display-capture [翻訳する]
    7. Feature-Policy: document-domain [翻訳する]
    8. Feature-Policy: encrypted-media
    9. Feature-Policy:fullscreen
    10. Feature-Policy:geolocation
    11. Feature-Policy: gyroscope [翻訳する]
    12. Feature-Policy: layout-animations [翻訳する]
    13. Feature-Policy: legacy-image-formats [翻訳する]
    14. Feature-Policy: magnetometer [翻訳する]
    15. Feature-Policy:microphone
    16. Feature-Policy: midi
    17. Feature-Policy: oversized-images [翻訳する]
    18. Feature-Policy: payment
    19. Feature-Policy: picture-in-picture [翻訳する]
    20. Feature-Policy: publickey-credentials [翻訳する]
    21. Feature-Policy: speaker [翻訳する]
    22. Feature-Policy: sync-xhr [翻訳する]
    23. Feature-Policy: unoptimized-images [翻訳する]
    24. Feature-Policy: unsized-media [翻訳する]
    25. Feature-Policy: usb [翻訳する]
    26. Feature-Policy: vibrate [翻訳する]
    27. Feature-Policy: vr
    28. Feature-Policy: wake-lock [翻訳する]
    29. Feature-Policy: xr [翻訳する]
    30. Feature-Policy: xr-spatial-tracking [翻訳する]