<base>で使用できるURLを制限する

必ず指定すべきdirective

Strict CSPにも含まれている ref

もしくは、 base-uri 'self'

参考

『Webブラウザセキュリティ』 p.69

ここだけ読んでもなんで危険なのかよくわからん #??

6章にも書いているらしい