Do you build things with AMP? Fill out the AMP Developer Survey!
AMP

サードパーティ攻撃からの保護

ウェブに存在するセキュリティの脆弱性から、サイトとユーザーを保護する対策を講じましょう。最も悪質な攻撃の 1 つに、クロスサイトスクリプティング(XSS)と呼ばれるものがあります。XSS は、攻撃者がユーザーに表示される HTML ページに悪意のあるコードをインジェクトできるセキュリティのバグです。

上記のような攻撃から保護するには、コンテンツセキュリティポリシー(CSP)を採用する方法があります。Google AMP キャッシュのような AMP キャッシュは、すでにページに CSP を追加するようになっています!ただし、ユーザーがキャッシュバージョンを回避した場合、独自の CSP を追加していなければ、ページにはこの追加の保護レイヤーが存在しないことになってしまいます。

AMP の CSP の実装

適切なメタタグをページの head に追加することで、CSP を実装することができます。以下は 、AMP スクリプトのみをページにインジェクトできるようにする AMP の CSP です。

<meta
  http-equiv="Content-Security-Policy"
  content="default-src * data: blob:; script-src blob: https://cdn.ampproject.org/v0.js https://cdn.ampproject.org/v0/ https://cdn.ampproject.org/viewer/ https://cdn.ampproject.org/rtv/; object-src 'none'; style-src 'unsafe-inline' https://cdn.ampproject.org/rtv/ https://cdn.materialdesignicons.com https://cloud.typography.com https://fast.fonts.net https://fonts.googleapis.com https://maxcdn.bootstrapcdn.com https://p.typekit.net https://use.fontawesome.com https://use.typekit.net; report-uri https://csp-collector.appspot.com/csp/amp"
/>

例の全文は、ここで閲覧できます