Content-Security-Policy-Report-Onlyを追加

packages/backend/src/server/web/ClientServerService.ts

@@ -172,6 +172,14 @@ export class ClientServerService {
 		fastify.addHook('onRequest', (request, reply, done) => {
 			// クリックジャッキング防止のためiFrameの中に入れられないようにする
 			reply.header('X-Frame-Options', 'DENY');
+
+			// XSSが存在した場合に影響を軽減する
+			// (script-srcにunsafe-inline等を追加すると意味が無くなるので注意)
+			const csp = this.config.contentSecurityPolicy
+				?? 'script-src \'self\' \'unsafe-eval\' ' +
+				'https://challenges.cloudflare.com https://hcaptcha.com https://*.hcaptcha.com https://www.google.com/recaptcha/ https://www.gstatic.com/recaptcha/ https://www.recaptcha.net/recaptcha/; ' +
+				'base-uri \'self\'; object-src \'self\';';
+			reply.header('Content-Security-Policy', csp);
 			done();
 		});