2025/04/10 時点の英語版に同期 (#26824)

* 2025/04/10 時点の英語版に同期

* fenced-frame-src

* Update index.md

* Update files/ja/web/http/reference/headers/content-security-policy/fenced-frame-src/index.md

Co-authored-by: github-actions[bot] <41898282+github-actions[bot]@users.noreply.github.com>

---------

Co-authored-by: github-actions[bot] <41898282+github-actions[bot]@users.noreply.github.com>

Author: mfuji09

files/ja/web/http/reference/headers/content-security-policy/connect-src/index.md

@@ -1,9 +1,8 @@
 ---
 title: "CSP: connect-src"
 slug: Web/HTTP/Reference/Headers/Content-Security-Policy/connect-src
-original_slug: Web/HTTP/Headers/Content-Security-Policy/connect-src
 l10n:
-  sourceCommit: 45c7ae13178203b4ee58842efbe2a27deab274a6
+  sourceCommit: e9b6cd1b7fa8612257b72b2a85a96dd7d45c0200
 ---
 
 {{HTTPSidebar}}
@@ -12,6 +11,7 @@ HTTP の {{HTTPHeader("Content-Security-Policy")}} (CSP) における **`connect
 
 - {{HTMLElement("a")}} の [`ping`](/ja/docs/Web/HTML/Reference/Elements/a#ping) 属性
 - {{domxref("Window/fetch", "fetch()")}}
+- {{domxref("Window/fetchLater", "fetchLater()")}} {{experimental_inline}}
 - {{domxref("XMLHttpRequest")}}
 - {{domxref("WebSocket")}}
 - {{domxref("EventSource")}}
@@ -40,18 +40,22 @@ HTTP の {{HTTPHeader("Content-Security-Policy")}} (CSP) における **`connect
 
 ## 構文
 
-connect-src ポリシーには、1 つ以上のソースが許可されています。
-
 ```http
-Content-Security-Policy: connect-src <source>;
-Content-Security-Policy: connect-src <source> <source>;
+Content-Security-Policy: connect-src 'none';
+Content-Security-Policy: connect-src <source-expression-list>;
 ```
 
-### ソース
+このディレクティブは、次のいずれかの値を指定することができます。
+
+- `'none'`
+  - : この種類のリソースは読み込まれません。単一引用符は必須です。
+- `<source-expression-list>`
 
-`<source>` は、 [CSP ソース値](/ja/docs/Web/HTTP/Reference/Headers/Content-Security-Policy#ソース)にあるいずれかの値を取ることができます。
+  - : ソース表現の値を空白で区切ったリストです。この種類のリソースは、指定されたソース表現のいずれかと一致した場合に読み込まれます。このディレクティブでは、以下のソース表現の値が適用できます。
 
-なお、この同じ値のセットはすべての{{Glossary("fetch directive", "フェッチディレクティブ")}}（と [他の多くのディレクティブ](/ja/docs/Web/HTTP/Reference/Headers/Content-Security-Policy#関連ディレクティブ)）で使用できます
+    - [`<host-source>`](/ja/docs/Web/HTTP/Reference/Headers/Content-Security-Policy#host-source)
+    - [`<scheme-source>`](/ja/docs/Web/HTTP/Reference/Headers/Content-Security-Policy#scheme-source)
+    - [`'self'`](/ja/docs/Web/HTTP/Reference/Headers/Content-Security-Policy#self)
 
 ## 例
 
@@ -63,16 +67,18 @@ Content-Security-Policy: connect-src <source> <source>;
 Content-Security-Policy: connect-src https://example.com/
 ```
 
-以下のコネクションはブロックされ、読み込まれません。
+以下の接続はブロックされ、読み込まれません。
 
 ```html
 <a ping="https://not-example.com">
   <script>
+    const response = fetch("https://not-example.com/");
+
     const xhr = new XMLHttpRequest();
     xhr.open("GET", "https://not-example.com/");
     xhr.send();
 
-    const ws = new WebSocket("https://not-example.com/");
+    const ws = new WebSocket("wss://not-example.com/");
 
     const es = new EventSource("https://not-example.com/");
 
@@ -91,14 +97,10 @@ Content-Security-Policy: connect-src https://example.com/
 
 {{Compat}}
 
-### 互換性のメモ
-
-- Firefox 23 以前では、`xhr-src` が `connect-src` ディレクティブの代わりに、{{domxref("XMLHttpRequest")}} を制限するだけのために使用されていました。
-
 ## 関連情報
 
 - {{HTTPHeader("Content-Security-Policy")}}
-- {{HTMLElement("a")}} の [`ping`](/ja/docs/Web/HTML/Reference/Elements/a#ping)ement/a#ping) 属性
+- {{HTMLElement("a")}} の [`ping`](/ja/docs/Web/HTML/Reference/Elements/a#ping) 属性
 - {{domxref("Window/fetch", "fetch()")}}
 - {{domxref("XMLHttpRequest")}}
 - {{domxref("WebSocket")}}

files/ja/web/http/reference/headers/content-security-policy/index.md

@@ -2,9 +2,8 @@
 title: Content-Security-Policy (CSP)
 short-title: Content-Security-Policy
 slug: Web/HTTP/Reference/Headers/Content-Security-Policy
-original_slug: Web/HTTP/Headers/Content-Security-Policy
 l10n:
-  sourceCommit: 232dc9186a6d79d7e12b3000999ad026d63e995e
+  sourceCommit: e9b6cd1b7fa8612257b72b2a85a96dd7d45c0200
 ---
 
 {{HTTPSidebar}}
@@ -137,7 +136,7 @@ Content-Security-Policy: <policy-directive>; <policy-directive>
     トークンが表すエンドポイントは、他にも {{HTTPHeader("Reporting-Endpoints")}} などの HTTP ヘッダーでで指定されている場合があります。
 
     > [!WARNING]
-    > このディレクティブは [`report-uri`](#report-uri) を置き換えることを意図しています。 `report-to` に対応したブラウザーでは、 `report-uri` ディレクティブは無視されます。
+    > このディレクティブは [`report-uri`](/ja/docs/Web/HTTP/Reference/Headers/Content-Security-Policy/report-uri) を置き換えることを意図しています。 `report-to` に対応したブラウザーでは、 `report-uri` ディレクティブは無視されます。
     > ただし、`report-to` が広く対応されるようになるまでは、次のようにどちらのヘッダーも指定してください（ここで、`endpoint_name` は別個に提供されたエンドポイントの名前です）。
     >
     > ```http
@@ -146,10 +145,10 @@ Content-Security-Policy: <policy-directive>; <policy-directive>
 
 ### その他のディレクティブ
 
-- {{CSP("require-trusted-types-for")}} {{experimental_inline}}
+- {{CSP("require-trusted-types-for")}}
   - : DOM XSS インジェクションシンクで [Trusted
     Types](/ja/docs/Web/API/Trusted_Types_API) を強制します。
-- {{CSP("trusted-types")}} {{experimental_inline}}
+- {{CSP("trusted-types")}}
   - : [Trusted Types](/ja/docs/Web/API/Trusted_Types_API) ポリシーのホワイトリストを指定するために使用します (Trusted Types は、アプリケーションが DOM XSS インジェクションシンクをロックダウンして、文字列の代わりにスプーフィング不可能な型付きの値のみを受け入れるようにします)。
 - {{CSP("upgrade-insecure-requests")}}
   - : 安全でない URL (HTTP で提供されているもの) をすべて安全な URL (HTTPS で提供されているもの) に置き換えたかのように扱うようにユーザーエージェントに指示します。
@@ -163,7 +162,7 @@ Content-Security-Policy: <policy-directive>; <policy-directive>
 
 - {{CSP("report-uri")}} {{deprecated_inline}}
   - : ユーザーエージェントにコンテンツセキュリティポリシーの違反を報告するよう指示します。
-    これは [`report-to`](#report-to) ディレクティブに置き換えられました。
+    これは [`report-to`](/ja/docs/Web/HTTP/Reference/Headers/Content-Security-Policy/report-to) ディレクティブに置き換えられました。
 
 ## フェッチディレクティブの構文
 
@@ -200,7 +199,7 @@ Content-Security-Policy: <policy-directive>; <policy-directive>
 この値は、ハッシュアルゴリズムを識別する文字列に続いて、 {{glossary("Base64", "base64 エンコード")}}された文字列から成り、ハッシュ値を表します。
 
 - ハッシュアルゴリズム識別子は、`sha256`、`sha384`、`sha512` のいずれかでなければなりません。
-- ハッシュ値は、 `<script>` または `<style>` リソースの base64 エンコードされた{{glossary("Cryptographic_hash_function", "ハッシュ")}}であり、SHA-256、SHA-384、SHA-512 のいずれかのハッシュ関数を使用して計算されます。
+- ハッシュ値は、 `<script>` または `<style>` リソースの base64 エンコードされた{{glossary("hash function", "ハッシュ")}}であり、SHA-256、SHA-384、SHA-512 のいずれかのハッシュ関数を使用して計算されます。
 
 例を示します。
 
@@ -260,7 +259,7 @@ Content-Security-Policy: <policy-directive>; <policy-directive>
 安全なアップグレードが許可されています。
 
 - この文書が `http://example.com` から提供され、 CSP が `'self'` であれば、 `https://example.com` からのリソースも許可します。
-- この文書が `ws://example.com` から提供され、 CSP が `'self'` であれば、 `wss://example.com` からのリソースも許可します。
+- この文書が `ws://example.org` から提供され、 CSP が `'self'` であれば、 `ws://example.org` からのリソースも許可します。
 
 ### 'unsafe-eval'
 
@@ -350,13 +349,13 @@ script-src 'unsafe-hashes' 'sha256-cd9827ad...'
 
 [ワーカー](/ja/docs/Web/API/Worker)は、一般的に文書 (もしくは親ワーカー) のコンテンツセキュリティポリシーによって管理され*ません*。ワーカーに対してコンテンツセキュリティポリシーを指定するには、ワーカースクリプト自身が要求したリクエストに対して `Content-Security-Policy` レスポンスヘッダーを設定して下さい。
 
-ワーカースクリプトのオリジンがグローバルで一意の識別子の場合 (例えば、URL がデータやブロブのスキーマの場合) は例外です。この場合、ワーカーは文書もしくは作成元のワーカーのコンテンツセキュリティポリシーを継承します。
+ワーカースクリプトのオリジンがグローバルで一意の識別子の場合（例えば、URL のスキームが data や blob の場合）は例外です。この場合、ワーカーは文書もしくは作成元のワーカーのコンテンツセキュリティポリシーを継承します。
 
 ## 複数のコンテンツセキュリティポリシー
 
-CSP では、`Content-Security-Policy` ヘッダー、{{HTTPHeader("Content-Security-Policy-Report-Only")}} ヘッダーや {{HTMLElement("meta")}} 要素を経由したものを含む、リソースに対して複数のポリシーを指定することができます。
+CSP の機構では、`Content-Security-Policy` ヘッダー、{{HTTPHeader("Content-Security-Policy-Report-Only")}} ヘッダーや {{HTMLElement("meta")}} 要素を経由したものを含む、リソースに対して複数のポリシーを指定することができます。
 
-以下の例のように、 `Content-Security-Policy` ヘッダーを複数回使うことができます。ここでは {{CSP("connect-src")}} ディレクティブに特に注意してください。 2 つ目のポリシーでは接続を許可しているにもかかわらず、 1 つ目のポリシーには `connect-src 'none'` が含まれています。追加のポリシーを追加しても、保護されたリソースの機能が*さらに制限することができる*だけで、接続は許可されず、最も厳密なポリシーとして `connect-src 'none'` が強制されます。
+以下の例のように、 `Content-Security-Policy` ヘッダーを複数回使うことができます。ここでは {{CSP("connect-src")}} ディレクティブに特に注意してください。 2 つ目のポリシーでは接続を許可しているにもかかわらず、 1 つ目のポリシーには `connect-src 'none'` が含まれています。追加のポリシーを追加しても、保護されたリソースの機能がさらに制限することができるだけで、接続は許可されず、最も厳密なポリシーとして `connect-src 'none'` が強制されます。
 
 ```http
 Content-Security-Policy: default-src 'self' http://example.com;

files/ja/web/http/reference/headers/content-security-policy/sandbox/index.md

@@ -1,9 +1,8 @@
 ---
 title: "CSP: sandbox"
 slug: Web/HTTP/Reference/Headers/Content-Security-Policy/sandbox
-original_slug: Web/HTTP/Headers/Content-Security-Policy/sandbox
 l10n:
-  sourceCommit: c49f6dcd20b14f28218aa26030ebbb2f54143521
+  sourceCommit: e9b6cd1b7fa8612257b72b2a85a96dd7d45c0200
 ---
 
 {{HTTPSidebar}}
@@ -38,9 +37,7 @@ Content-Security-Policy: sandbox <value>;
 `<value>` は省略可能で、以下の値の内の一つです。
 
 - `allow-downloads`
-  - : [download](/ja/docs/Web/HTML/Reference/Elements/a#attr-download) 属性がついた {{HTMLElement("a")}} または {{HTMLElement("area")}} 要素における、ファイルのダウンロードのための操作を通してファイルのダウンロードを可能にします。これは、ユーザーがリンクをクリックしたか、JS コードがユーザーとの対話なしに開始したかに関係なく、動作します。
-- `allow-downloads-without-user-activation` {{experimental_inline}}
-  - : ユーザーによる指示のないダウンロードを許可します。
+  - : {{HTMLElement("a")}} または {{HTMLElement("area")}} 要素に [download](/ja/docs/Web/HTML/Reference/Elements/a#attr-download) 属性が付いていた場合に、ファイルのダウンロードのための操作を通してファイルのダウンロードを可能にします。これは、ユーザーがリンクをクリックしたか、JS コードがユーザーとの対話なしに開始したかに関係なく、動作します。
 - `allow-forms`
   - : ページがフォームを送信することを許可します。このキーワードを使用しない場合、フォームは通常通り表示されますが、フォームを送信しても入力の検証、ウェブサーバーへのデータ送信、ダイアログの終了は行われません。
 - `allow-modals`
@@ -68,6 +65,8 @@ Content-Security-Policy: sandbox <value>;
 - `allow-top-navigation-to-custom-protocols`
   - : ブラウザーに組み込まれている、または[ウェブサイトによって登録された](/ja/docs/Web/API/Navigator/registerProtocolHandler) `http` 以外のプロトコルへのナビゲーションを可能にします。この機能は `allow-popups` または `allow-top-navigation` キーワードでも有効になる。
 
+> **メモ:** `allow-top-navigation` および関連する値は、埋め込み文書（子 iframe など）に対してのみ意味を持ちます。 独立した文書の場合、最上位の閲覧コンテキストは文書自体であるため、これらの値が示す効果はありません。
+
 ## 例
 
 ```http