Articles
HTML入門
メタ情報関連のタグ

メタ情報関連のタグ

この記事ではメタ情報関連のタグについて説明します。

<meta>タグについて、SEOやレスポンシブデザイン、Content-Security-Policyなどと関係する点も含めて説明しています。

YouTube Video

メタ情報関連のタグ

<meta>タグ 

1<meta charset="UTF-8">
2<meta name="viewport" content="width=device-width, initial-scale=1.0">
  • <meta>タグは、HTMLドキュメントのメタデータを提供します。メタデータはページには表示されず、検索エンジンやブラウザで使用されます。<meta>タグは、ページの説明、キーワード、著者情報、レスポンシブデザインの設定などに利用されます。

<meta name="viewport">タグ 

1<meta name="viewport" content="width=device-width, initial-scale=1">
  • <meta name="viewport">タグは、異なるデバイスでのウェブページのレイアウトとスケーリングを制御します。これはレスポンシブデザインにおいてよく使用され、モバイルデバイスでの表示を適切に行うために利用されます。

<meta name="description">タグ 

1<meta name="description" content="An example webpage">
  • <meta name="description">タグは、ウェブページの内容を簡単に説明するために使用されます。検索エンジンはこの説明を利用して、検索結果にページの要約を表示します。

<meta name="keywords">タグ 

1<meta name="keywords" content="HTML, CSS, JavaScript">
  • <meta name="keywords">タグは、ページの内容に関連するキーワードのリストを提供します。検索エンジンはこれらのキーワードを使用して、ページ内容をより理解しやすくします。

<meta name="author">タグ 

1<meta name="author" content="John Doe">
  • <meta name="author">タグは、ウェブページの作成者を指定します。この情報は主に検索エンジンやツールによって使用され、ページの作成者を正確に特定するために使われます。

<meta http-equiv="refresh">タグ 

1<meta http-equiv="refresh" content="5; url=https://example.com">
  • <meta http-equiv="refresh">タグは、指定した時間が経過した後にページを自動的に更新したり、別のURLにリダイレクトするために使用されます。ページのリロードやユーザーのリダイレクトに便利です。

<meta http-equiv="cache-control">タグ 

1<meta http-equiv="cache-control" content="no-cache">
  • <meta http-equiv="cache-control">タグは、ウェブページのキャッシュ動作を制御するために使用されます。ページをキャッシュするか、再度アクセスしたときに再検証するかを指定することができます。

<meta http-equiv="expires">タグ 

1<meta http-equiv="expires" content="Tue, 01 Jan 2025 00:00:00 GMT">
  • <meta http-equiv="expires">タグは、ページのコンテンツに有効期限を設定します。指定された日付が過ぎると、コンテンツは古くなり、ブラウザが新しいバージョンを取得するように促します。

<meta http-equiv="X-UA-Compatible">タグ 

1<meta http-equiv="X-UA-Compatible" content="IE=edge">
  • <meta http-equiv="X-UA-Compatible">タグは、Internet Explorerの互換モードを指定するために使用されます。このタグにより、ブラウザが適切なバージョンのレンダリングエンジンを使用してページを表示することが保証されます。

<meta http-equiv="content-security-policy">タグ

HTMLのmetaタグにおける http-equiv="content-security-policy" 属性は、ウェブページのセキュリティを強化するために、ブラウザに特定のセキュリティルールを適用するための機能です。この属性を利用することで、Webサイトの開発者は、リソースの読み込みやスクリプトの実行に関するポリシーを設定し、XSS(クロスサイトスクリプティング)やデータインジェクションなどの攻撃を防ぐことができます。

Content-Security-Policyとは?

Content-Security-Policy(CSP)は、Webページがどのような外部リソース(画像、スクリプト、スタイルシートなど)を読み込めるか、また、どのようなコードが実行できるかを制御するためのHTTPヘッダーの一種です。通常はHTTPヘッダーとして送信されますが、metaタグを使ってHTML内で定義することも可能です。この方法により、サーバー側でヘッダーを設定する代わりに、クライアント側でCSPを指定できます。

例えば、以下のようにHTMLのmetaタグでCSPを設定することができます。

1<meta http-equiv="Content-Security-Policy" content="default-src 'self'; img-src https://example.com; script-src 'self' https://apis.google.com">

この例では、以下のポリシーが設定されています:

  • default-src 'self': 基本的に全てのリソースは同じオリジン(自分自身)からのみ読み込む。
  • img-src https://example.com: 画像は https://example.com からのみ読み込む。
  • script-src 'self' https://apis.google.com: スクリプトは同じオリジンか https://apis.google.com からのみ実行できる。

http-equiv と HTTPヘッダーの違い

通常、Content-Security-Policy はHTTPヘッダーとしてサーバーからクライアントに送信されます。しかし、metaタグを使用してクライアント側で設定する場合は、HTML内に直接記述することができます。

ただし、HTTPヘッダーとして設定する場合と、metaタグで指定する場合にはいくつかの重要な違いがあります:

  1. 優先度: HTTPヘッダーで送信されたCSPは、metaタグで指定されたものよりも優先されます。つまり、サーバー側でCSPを設定している場合、クライアント側でmetaタグを使用してもそのポリシーは上書きされません。

  2. 適用タイミング: HTTPヘッダーで指定されたCSPは、ページがロードされる前に適用されます。一方、metaタグの場合は、HTMLがパースされるときに適用されるため、リソースが既に読み込まれている可能性があります。

CSPで設定可能なディレクティブ

CSPでは、さまざまなディレクティブ(指令)を使って、特定の種類のリソースに対して読み込みや実行を許可するポリシーを指定します。代表的なディレクティブには次のようなものがあります。

  • default-src: すべてのリソースに対するデフォルトのソースポリシーを指定します。他のディレクティブで特定されないリソースに適用されます。
  • script-src: JavaScriptのソースを指定します。XSS攻撃を防ぐため、外部サイトからのスクリプト読み込みを制限できます。
  • style-src: CSSのソースを指定します。外部からのスタイルシートの読み込みを制限することで、スタイルに対する攻撃を防げます。
  • img-src: 画像のソースを指定します。外部からの画像読み込みを制限できます。
  • connect-src: XMLHttpRequestやWebSocket接続を許可するURLを指定します。外部APIやWebSocket通信の安全を確保します。

これらのディレクティブを組み合わせて、Webページのリソースに対する詳細なポリシーを構築できます。

セキュリティ向上のための実用的なCSP設定

以下は、Webサイトのセキュリティを強化するためのCSP設定例です。これにより、XSS攻撃やデータ漏洩のリスクを軽減できます。

1<meta http-equiv="Content-Security-Policy"
2    content="default-src 'self'; script-src 'self' https://trusted-cdn.com; object-src 'none'; style-src 'self'; base-uri 'self'; form-action 'self';">

この設定では、以下のポリシーが適用されています:

  • default-src 'self': すべてのリソースは、自分自身のオリジンからのみ読み込まれます。
  • script-src 'self' https://trusted-cdn.com: スクリプトは自分自身のオリジンまたは信頼されたCDNからのみ読み込まれます。
  • object-src 'none': objectタグは使用されません。これはフラッシュやプラグインベースの攻撃を防ぐためです。
  • style-src 'self': スタイルシートは自分自身のオリジンからのみ読み込まれます。
  • base-uri 'self': <base>タグで設定されるURLベースは、自分自身のオリジンに限定されます。
  • form-action 'self': フォームの送信先は自分自身のオリジンに限定されます。これにより、フォームデータが外部サイトに送信されるリスクを減らします。

結論

http-equiv="content-security-policy" を使ってCSPをHTML内で定義することで、Webページのセキュリティを高めることが可能です。正しく設定されたCSPは、XSS攻撃やデータ漏洩のリスクを軽減し、Webサイトを保護する強力なツールとなります。

YouTubeチャンネルでは、Visual Studio Codeを用いて上記の記事を見ながら確認できます。 ぜひYouTubeチャンネルもご覧ください。

YouTube Video

ヘッド部で使われるタグHTMLの最近の動向