[要約] RFC 7762は、Content Security Policy(CSP)ディレクティブレジストリの初期割り当てに関するものであり、CSPディレクティブの一貫性と互換性を確保するための標準化を目的としています。
Internet Engineering Task Force (IETF) M. West
Request for Comments: 7762 Google, Inc
Category: Informational January 2016
ISSN: 2070-1721
Initial Assignment for the Content Security Policy Directives Registry
コンテンツセキュリティポリシーディレクティブレジストリの初期割り当て
Abstract
概要
This document establishes an Internet Assigned Number Authority (IANA) registry for Content Security Policy directives and populates that registry with the directives defined in the Content Security Policy Level 2 specification.
このドキュメントでは、コンテンツセキュリティポリシーディレクティブ用のインターネット割り当て番号認証局(IANA)レジストリを確立し、そのレジストリにコンテンツセキュリティポリシーレベル2仕様で定義されているディレクティブを設定します。
Status of This Memo
本文書の状態
This document is not an Internet Standards Track specification; it is published for informational purposes.
このドキュメントはInternet Standards Trackの仕様ではありません。情報提供を目的として公開されています。
This document is a product of the Internet Engineering Task Force (IETF). It represents the consensus of the IETF community. It has received public review and has been approved for publication by the Internet Engineering Steering Group (IESG). Not all documents approved by the IESG are a candidate for any level of Internet Standard; see Section 2 of RFC 5741.
このドキュメントは、IETF(Internet Engineering Task Force)の製品です。これは、IETFコミュニティのコンセンサスを表しています。公開レビューを受け、インターネットエンジニアリングステアリンググループ(IESG)による公開が承認されました。 IESGによって承認されたすべてのドキュメントが、あらゆるレベルのインターネット標準の候補になるわけではありません。 RFC 5741のセクション2をご覧ください。
Information about the current status of this document, any errata, and how to provide feedback on it may be obtained at http://www.rfc-editor.org/info/rfc7762.
このドキュメントの現在のステータス、エラッタ、およびフィードバックの提供方法に関する情報は、http://www.rfc-editor.org/info/rfc7762で入手できます。
Copyright Notice
著作権表示
Copyright (c) 2016 IETF Trust and the persons identified as the document authors. All rights reserved.
Copyright(c)2016 IETF Trustおよびドキュメントの作成者として識別された人物。全著作権所有。
This document is subject to BCP 78 and the IETF Trust's Legal Provisions Relating to IETF Documents (http://trustee.ietf.org/license-info) in effect on the date of publication of this document. Please review these documents carefully, as they describe your rights and restrictions with respect to this document. Code Components extracted from this document must include Simplified BSD License text as described in Section 4.e of the Trust Legal Provisions and are provided without warranty as described in the Simplified BSD License.
この文書は、BCP 78およびIETF文書に関するIETFトラストの法的規定(http://trustee.ietf.org/license-info)の対象であり、この文書の発行日に有効です。これらのドキュメントは、このドキュメントに関するあなたの権利と制限を説明しているため、注意深く確認してください。このドキュメントから抽出されたコードコンポーネントには、Trust Legal Provisionsのセクション4.eに記載されているSimplified BSD Licenseのテキストが含まれている必要があり、Simplified BSD Licenseに記載されているように保証なしで提供されます。
Table of Contents
目次
1. Introduction . . . . . . . . . . . . . . . . . . . . . . . . 2
2. Terminology . . . . . . . . . . . . . . . . . . . . . . . . . 2
3. Use of the Registry . . . . . . . . . . . . . . . . . . . . . 2
4. IANA Considerations . . . . . . . . . . . . . . . . . . . . . 3
4.1. Content Security Policy Directives Registry . . . . . . . 3
4.2. Registration Policy for Content Security Policy
Directives . . . . . . . . . . . . . . . . . . . . . . . 4
5. Security Considerations . . . . . . . . . . . . . . . . . . . 4
6. References . . . . . . . . . . . . . . . . . . . . . . . . . 5
6.1. Normative References . . . . . . . . . . . . . . . . . . 5
6.2. Informative References . . . . . . . . . . . . . . . . . 5
Acknowledgements . . . . . . . . . . . . . . . . . . . . . . . . 5
Author's Address . . . . . . . . . . . . . . . . . . . . . . . . 5
The Content Security Policy (CSP) specification [CSP] defines a mechanism that web developers can use to control the resources that a particular page can fetch or execute, as well as a number of additional security-relevant policy decisions.
コンテンツセキュリティポリシー(CSP)仕様[CSP]は、特定のページがフェッチまたは実行できるリソースを制御するためにWeb開発者が使用できるメカニズムと、セキュリティ関連の追加のポリシー決定を定義します。
The policy language specified in that document consists of an extensible set of "directives", each of which controls a specific resource type or policy decision. This specification establishes a registry to ensure that extensions to CSP are listed and standardized.
そのドキュメントで指定されているポリシー言語は、拡張可能な一連の「ディレクティブ」で構成されており、それぞれが特定のリソースタイプまたはポリシー決定を制御します。この仕様は、CSPへの拡張が確実にリストされ、標準化されるようにレジストリを確立します。
The key words "MUST", "MUST NOT", "REQUIRED", "SHALL", "SHALL NOT", "SHOULD", "SHOULD NOT", "RECOMMENDED", "MAY", and "OPTIONAL" in this document are to be interpreted as described in [RFC2119].
このドキュメントのキーワード「MUST」、「MUST NOT」、「REQUIRED」、「SHALL」、「SHALL NOT」、「SHOULD」、「SHOULD NOT」、「RECOMMENDED」、「MAY」、および「OPTIONAL」は、 [RFC2119]で説明されているように解釈されます。
Content Security Policy directives must be documented in a readily available public specification in order to be registered by IANA. This documentation MUST fully explain the syntax, intended usage, and semantics of the directive. The intent of this requirement is to assure interoperable independent implementations, and to prevent accidental namespace collisions between implementations of dissimilar features.
コンテンツセキュリティポリシーディレクティブは、IANAに登録するために、すぐに利用できる公開仕様に文書化する必要があります。このドキュメントでは、ディレクティブの構文、使用目的、およびセマンティクスを完全に説明する必要があります。この要件の目的は、相互運用可能な独立した実装を保証し、異なる機能の実装間でのネームスペースの偶発的な衝突を防ぐことです。
Documents defining new Content Security Policy directives MUST register them with IANA, as described in Section 3. The IANA
セクション3で説明されているように、新しいコンテンツセキュリティポリシーディレクティブを定義するドキュメントは、それらをIANAに登録する必要があります。
registration policy for such parameters is "Specification Required" [RFC5226] and is further discussed in Section 3.2.
そのようなパラメータの登録ポリシーは「Specification Required」[RFC5226]であり、セクション3.2でさらに説明されています。
This specification creates a new top-level IANA registry named "Content Security Policy Directives".
この仕様は、「コンテンツセキュリティポリシーディレクティブ」という名前の新しいトップレベルのIANAレジストリを作成します。
New Content Security Policy directives, and updates to existing directives, MUST be registered with IANA.
新しいコンテンツセキュリティポリシーディレクティブ、および既存のディレクティブの更新は、IANAに登録する必要があります。
When registering a new Content Security Policy directive, the following information MUST be provided:
新しいコンテンツセキュリティポリシーディレクティブを登録するときは、次の情報を提供する必要があります。
o The directive's name, an ASCII string conforming to the "directive-name" rule specified in Section 4.1 of [CSP]. The ABNF [RFC5234] is as follows:
o ディレクティブの名前、[CSP]のセクション4.1で指定された "directive-name"ルールに準拠したASCII文字列。 ABNF [RFC5234]は次のとおりです。
directive-name = 1*( ALPHA / DIGIT / "-" )
o A reference to the readily available public specification defining the new directive's syntax, usage, and semantics.
o 新しいディレクティブの構文、使用法、およびセマンティクスを定義する、すぐに利用可能な公開仕様への参照。
The following table contains the initial values for this registry:
次の表には、このレジストリの初期値が含まれています。
+-----------------+-----------+
| Directive Name | Reference |
+-----------------+-----------+
| base-uri | [CSP] |
| child-src | [CSP] |
| connect-src | [CSP] |
| default-src | [CSP] |
| font-src | [CSP] |
| form-action | [CSP] |
| frame-ancestors | [CSP] |
| frame-src | [CSP] |
| img-src | [CSP] |
| media-src | [CSP] |
| object-src | [CSP] |
| plugin-types | [CSP] |
| report-uri | [CSP] |
| sandbox | [CSP] |
| script-src | [CSP] |
| style-src | [CSP] |
+-----------------+-----------+
The registration policy for Content Security Policy directives is "Specification Required" [RFC5226], which uses a designated expert to review the specification.
コンテンツセキュリティポリシーディレクティブの登録ポリシーは「指定が必要」[RFC5226]で、指定された専門家を使用して仕様を確認します。
When appointing an Expert (or Experts), the IESG SHOULD draw from the W3C's security community, coordinating through the liaison.
専門家を任命する場合、IESGはW3Cのセキュリティコミュニティから連絡を取り合い、調整を行う必要があります(SHOULD)。
The designated expert, when deliberating on whether to include a new directive in the registry, SHOULD consider the following criteria. This is not an exhaustive list, but representative of the issues to consider when rendering a decision:
指定された専門家は、レジストリに新しい指令を含めるかどうかについて検討するとき、以下の基準を考慮する必要があります。これは完全なリストではありませんが、決定を下す際に考慮すべき問題の代表です。
o Content Security Policy is a restrictive feature, which allows web developers to deny themselves access to resources and APIs that would otherwise be available. Deploying Content Security Policy is, therefore, a strict reduction in risk. The expert SHOULD carefully consider whether proposed directives would violate this property.
o コンテンツセキュリティポリシーは制限的な機能であり、これによりWeb開発者は、他の方法では利用できないリソースやAPIへのアクセスを拒否できます。したがって、コンテンツセキュリティポリシーの導入は、リスクを厳密に軽減することになります。専門家は、提案された指令がこの特性に違反するかどうかを慎重に検討する必要があります。
o Granular directives are valuable, but the expert SHOULD strive to strike a reasonable balance between providing developers with all the knobs and switches possible and providing only those with known security implications.
o 詳細なディレクティブは価値がありますが、エキスパートは、開発者に可能なすべてのノブとスイッチを提供することと、既知のセキュリティ上の影響があるものだけを提供することの間の合理的なバランスを取るよう努める必要があります。
The registry in this document does not in itself have security implications. The directives specified, however, certainly do. The documents referenced when registering new directives MUST contain detailed security and privacy considerations sections, and SHOULD contain usage information that informs web developers as to the directive's expected implementation.
このドキュメントのレジストリ自体は、セキュリティに影響を与えません。しかし、指定されたディレクティブは確かにそうです。新しいディレクティブを登録するときに参照されるドキュメントには、セキュリティとプライバシーに関する詳細な考慮事項のセクションが含まれている必要があり、ディレクティブの予想される実装についてWeb開発者に通知する使用情報が含まれている必要があります。
[CSP] West, M., Barth, A., and D. Veditz, "Content Security Policy Level 2", July 2015, <https://www.w3.org/TR/CSP2>.
[CSP] West、M.、Barth、A。、およびD. Veditz、「コンテンツセキュリティポリシーレベル2」、2015年7月、<https://www.w3.org/TR/CSP2>。
[RFC2119] Bradner, S., "Key words for use in RFCs to Indicate Requirement Levels", BCP 14, RFC 2119, DOI 10.17487/RFC2119, March 1997, <http://www.rfc-editor.org/info/rfc2119>.
[RFC2119] Bradner、S。、「要件レベルを示すためにRFCで使用するキーワード」、BCP 14、RFC 2119、DOI 10.17487 / RFC2119、1997年3月、<http://www.rfc-editor.org/info/ rfc2119>。
[RFC5226] Narten, T. and H. Alvestrand, "Guidelines for Writing an IANA Considerations Section in RFCs", BCP 26, RFC 5226, DOI 10.17487/RFC5226, May 2008, <http://www.rfc-editor.org/info/rfc5226>.
[RFC5226] Narten、T。およびH. Alvestrand、「RFCでIANAの考慮事項セクションを作成するためのガイドライン」、BCP 26、RFC 5226、DOI 10.17487 / RFC5226、2008年5月、<http://www.rfc-editor.org / info / rfc5226>。
[RFC5234] Crocker, D., Ed. and P. Overell, "Augmented BNF for Syntax Specifications: ABNF", STD 68, RFC 5234, DOI 10.17487/RFC5234, January 2008, <http://www.rfc-editor.org/info/rfc5234>.
[RFC5234]クロッカー、D。、エド。およびP. Overell、「構文仕様の拡張BNF:ABNF」、STD 68、RFC 5234、DOI 10.17487 / RFC5234、2008年1月、<http://www.rfc-editor.org/info/rfc5234>。
[RFC5341] Jennings, C. and V. Gurbani, "The Internet Assigned Number Authority (IANA) tel Uniform Resource Identifier (URI) Parameter Registry", RFC 5341, DOI 10.17487/RFC5341, September 2008, <http://www.rfc-editor.org/info/rfc5341>.
[RFC5341] Jennings、C。およびV. Gurbani、「インターネット割り当て番号認証局(IANA)tel Uniform Resource Identifier(URI)パラメータレジストリ」、RFC 5341、DOI 10.17487 / RFC5341、2008年9月、<http:// www。 rfc-editor.org/info/rfc5341>。
Acknowledgements
謝辞
Much of this document's structure comes from [RFC5341]. Thank you to Cullen Jennings and Vijay K. Gurbani for giving me a reasonable template to work within and to Barry Leiba for his helpful commentary and suggestions.
このドキュメントの構造の多くは、[RFC5341]に基づいています。内部で作業するための適切なテンプレートを提供してくれたCullen JenningsとVijay K. Gurbaniに感謝し、Barry Leibaの有用な解説と提案をありがとう。
Author's Address
著者のアドレス
Mike West Google, Inc
Mike West Google、Inc
Email: mkwst@google.com
URI: https://mikewest.org/