クラスター C3: ネットワークとセキュリティ
本番障害を招く CSP のよくあるミス
CSP は書けるかどうかより、本番で本当に必要なリソースと合っているかが重要です。
壊れる原因はポリシーと依存先のズレ
画面が開くことだけ確認して、本番で使うサードパーティスクリプト、フォント、API 接続先まで検証していないケースが多くあります。
`script-src` や `connect-src` が実運用の依存先とずれると、HTTP は成功していても機能だけ壊れる障害になります。
安全な展開手順
- まず Report-Only で実際の違反を集める。
- 新しいドメインやスクリプトを追加したら CSP と回帰テストも更新する。
- CDN やプロキシでヘッダーが変わっていないか差分を監視する。
実用的な入出力例
入力
Content-Security-Policy: script-src 'self'; connect-src 'self'
出力
https://api.partner.com への接続がブロック connect-src に対象ドメインを追加