NuGenesis Web サーバーに HTTP Content-Security-Policy ヘッダーを追加する方法 - WKB239682

目的または目標

Microsoft IIS の Web サイト/アプリケーションに、「Content-Security-Policy」HTTP 応答ヘッダーを追加する。

環境

• Windows Server 2019/2016/2012
• IIS には、HTTPS の有効なバインドがある 1 つまたは複数の Web サイトがある
• NuGenesis 9
• NuGenesis 8

手順

1. Web サーバーで［IIS マネージャー］を開きます。
2. ローカルサーバーに接続します。
3. ［サイト］ツリーを展開し、［Default Web Site］をダブルクリックし、いずれかのアプリケーションを選択します。
4. ［HTTP 応答コード］をダブルクリックします。
5. ［追加］をクリックします。
6. ヘッダー名に次を指定します：

   • Content-Security-Policy

7. ヘッダー値に次を指定します：

   • style-src https://servername

8. ［OK］をクリックします。
9. Web サーバーを再起動します。

追加情報

このヘッダーは、IIS がサポートするすべてのページに「style-src」指示を追加します。これにより、Web ページのスタイルシートが、他のソースでの同名のファイルからではなく、指定されたサーバーからのみ読み込まれるようになります。

style-src 宣言が URL で指定されたホストと一致しない場合（例えば、マシンのドメインメンバーシップが変更された場合）、CSS スタイルシートが適用されません。Web サイトは、通常の外観とは大きく異なるように見えて、機能しない可能性があります。以下のメッセージは、style-src 宣言に一致しないスタイルシートごとに 1 回、ブラウザーのコンソールに記録されます。

• Refused to load the stylesheet 'https://servername.domain/sitename/p...stylesheet.css' because it violates the following Content Security Policy directive: "style-src https://servername". Note that 'style-src-elem' was not explicitly set, so 'style-src' is used as a fallback. （コンテンツセキュリティポリシーディレクティブ「style-src https://servername」に違反しているため、スタイルシート「https://servername.domain/sitename/p...stylesheet.css」の読み込みが拒否されました。「style-src-elem」が明確に設定されていないため、「style-src」がフォールバックとして使用されていることに注意してください。）