不正利用に使用されないようにするため、 Content-Security-Policy を有効にする。
有効にする上で使用できなくなる箇所
- インラインスタイルシート
SelectRect が変数で位置制御をしているため、 nonce 付きの style 要素を設けるか、 hash 化したスタイルシートをその都度生成して設定する必要がある- スタイルシートを DOM からパラメーターを導入する仕組みがあればいいのだが、現在どのブラウザーもまだサポートしていない (参考)
- インラインスクリプト
- 有効にしてみないとどのような影響が出るか分からない
