セキュリティポリシー

レスポンスヘッダーとしてContent Security Policyヘッダーを設定することができます。 また、レポート送信エンドポイントを設定し許可されていないリソースがロードされた場合に違反情報をサーバーに送信するための設定をすることができます。 [v3.3.0]で追加された機能です。

注意

• CSP を有効にすると、ポリシーに違反した場合にシナリオがブロックされる可能性があります。
  開発環境で十分に動作確認を行った上で、本番環境で有効化することを推奨します。

セキュリティポリシー

有効を設定し、アプリケーションをデプロイすることでセキュリティーポリシーを有効化できます。

CSPディレクティブ

ブラウザに対してコンテンツの読み込み許可を行うことができます。 デフォルトで以下の設定が可能です。

No	ディレクティブ	値
1	default-src	’self’
2	script-src	’self’ ‘wasm-unsafe-eval’ cdn.dhtmlx.com
3	connect-src	’self’ ‘wasm-unsafe-eval’ cdn.dhtmlx.com
4	font-src	’self’ ‘wasm-unsafe-eval’ cdn.dhtmlx.com
5	object-src	’self’ *.webperformer.jp
6	frame-src	www.google.com www.gstatic.com
7	img-src	’self’ data: *.webperformer.jp
8	style-src	’self’ ‘unsafe-inline’ fonts.googleapis.com cdn.dhtmlx.com
9	frame-ancestors	’none’
10	worker-src	’self’ blob:

ノート

• 外部の画像の読み込みなどを行う場合には、img-srcディレクティブに許可するドメインを追加してください。
• ディレクティブの選択肢と指定例については以下となります。

No	カテゴリ	ディレクティブ	説明	代表的な指定例
1	リソース読み込み制御	default-src	明示指定がない場合のデフォルトソース制限	’self’
2		script-src	JavaScript の読み込み元	’self’ https://cdn.example.com
3		style-src	CSS の読み込み元	’self’ ‘unsafe-inline’
4		img-src	画像の読み込み元	’self’ data:
5		font-src	Web フォントの読み込み元	’self’ https://fonts.gstatic.com
6		connect-src	XHR / fetch / WebSocket / EventSource の接続先	’self’ https://api.example.com
7		media-src	<audio> / <video> / <track> のソース	’self’
8		object-src	<object> / <embed> / <applet> のソース	’none’
9		frame-src	<frame> / <iframe> の読み込み元	’self’ https://player.vimeo.com
10		worker-src	Web Workers / Shared Workers の読み込み元	’self’
11		manifest-src	Web App Manifest (manifest.json) の取得元	’self’
12	ドキュメント制御	base-uri	<base> 要素で指定可能な URI の制限	’self’
13		form-action	<form action> の送信先を制限	’self’
14		frame-ancestors	このページを <frame> / <iframe> に埋め込めるドメインを制限	’none’
15		sandbox	ページ全体に HTML5 のサンドボックス属性を付与	allow-scripts allow-same-origin
16	スクリプト制御	script-src-elem	<script> 要素由来のスクリプトソース制御 (CSP Level 3)	‘self’
17		script-src-attr	onclick など HTML 属性スクリプトの制御 (CSP Level 3)	‘none’
18		style-src-elem	<link rel="stylesheet"> や <style> の外部読み込み	’self’
19		style-src-attr	style="..." のインライン CSS	’none’
20	セキュリティ強化	require-trusted-types-for	Trusted Types API を強制する	’script’
21		trusted-types	Trusted Types ポリシーを定義	default
22		upgrade-insecure-requests	HTTP リクエストを HTTPS に自動アップグレード	{値なし}
23		report-to	Reporting Endpoints テーブルの Endpoint Name を指定する	レポート送信エンドポイントで指定したエンドポイント名

レポート送信エンドポイント

有効を設定し、アプリケーションをデプロイすることでレポート送信エンドポイントを設定することができます。

設定方法

レポート送信機能を利用する場合、CSPディレクティブreport-toの値に設定したエンドポイント名の指定が必要です。

ノート

• エンドポイントは複数設定可能です。
• REST APIアプリケーションをエンドポイントとして設定することでコンソールログにCSP違反レポートを出力することが可能です。