ブラウザ防御
情報セキュリティマネジメント試験「コンテンツセキュリティポリシー」の問題
Webページが読み込んでよいスクリプトや画像の取得元をサーバが宣言し、ブラウザに強制させてXSSを緩和する仕組みはどれか。
ア以後は必ず暗号化された通信で接続するようサーバが宣言し、平文での接続をブラウザに行わせない仕組み。
イ許可する取得元をサーバが宣言し、ブラウザがそれ以外の読込みを拒否してスクリプト注入を緩和する仕組み。
ウ利用者ごとに異なる値でパスワードのハッシュを保護する仕組み。
エ接続してくる端末のパッチ適用や対策ソフトの状態を点検し、要件を満たさなければ接続可否を判断する仕組み。
正解
イ.許可する取得元をサーバが宣言し、ブラウザがそれ以外の読込みを拒否してスクリプト注入を緩和する仕組み。
CSPはサーバが応答ヘッダで信頼するスクリプトや画像の取得元を宣言し、ブラウザが許可外の読込みや実行を遮断することで、注入されたスクリプトの実行を抑止する。
?選択肢ごとの解説
ア ×通信暗号化をブラウザへ強制するのはHSTSで、読込み元を制限してXSSを緩和するCSPとは目的が異なる。
イ ○CSPはサーバが応答ヘッダで信頼するスクリプトや画像の取得元を宣言し、ブラウザが許可外の読込みや実行を遮断することで、注入されたスクリプトの実行を抑止する。
ウ ×値を付加してパスワードハッシュを守るのはソルトで、ブラウザの読込み制御を行うCSPとは無関係である。
エ ×端末の健全性で接続可否を決めるのはNACで、コンテンツの読込み元を制御するCSPとは対象が違う。
この問題の「深掘り・誤答の完全解説・試験のコツ・覚え方」はアプリで。
無料ではじめる →情報セキュリティマネジメント試験の全問を、一問ごとにAIの8-ways解説つきで。SRS暗記カード・全真模試・弱点診断まで。まずは無料で。
ukamiru 過去問 · 情報セキュリティマネジメント試験 · sg-a3-w3-0018
