CSP

CSP（Content Security Policy）とは

Content Security Policyは、Webページが外部から読み込めるリソース（スクリプト、スタイル、画像、接続先等）をHTTPヘッダーで制限するセキュリティ機構です。クロスサイトスクリプティング（XSS）攻撃の軽減に効果があります。

Cloudflare Pagesでは_headersファイルで設定します。script-src、connect-src、frame-src等のディレクティブで許可するドメインを列挙し、それ以外からの読み込みをブロックします。LIFFアプリではLINE関連の5ドメインの許可が必須です。