IT人材をお探しの方は、まずはお電話ください。担当営業がすぐにご要望にマッチした人材をご提案いたします。
tel:03-6409-6766 お急ぎの方はお電話ください

ブログTOP > IT・技術関連 > 【Salesforce】ContentSecurityPolicyとは?

【Salesforce】ContentSecurityPolicyとは?

IT・技術関連 更新日:2024.09.05
エンジニア採用
【Salesforce】ContentSecurityPolicyとは?

SalesforceContentSecurityPolicyとは? Salesforceのツール;ライトニング(Lightning)の構成要素の枠組みは、内容の安全性に関する方針(ContentSecurityPolicy=CSP)を使用して内容に制約を適用します。主な目的は、脆弱性があるウェブアプリケーションのサイト訪問者の個人情報を盗むなどの被害をもたらす攻撃(クロスサイトスクリプティング=XSS)や、その他のコード注入攻撃を阻止することです。 CSPは、ページに読み込むコンテンツのソースを制御するためのルールを定義する、Web技術の標準化を行う協会(W3C)の標準です。すべてのCSPルールはページレベルで機能し、すべてのコンポーネントに適用されます。 このフレームワークが次のCSP ルールを有効にします。

1. JavaScriptライブラリ

すべてのJavaScriptライブラリは、Salesforce静的リソースとしてアップロードされる必要があります。詳細については公式サイトを参照してください。

2. リソースのHTTPS接続

すべての外部フォント、画像、フレーム、およびCSSは、HTTPS URLを使用する必要があります。CSP信頼済みサイトを追加することにより、CSPポリシーを変更して、サードパーティリソースへのアクセスを拡張できます。

3. インラインJavaScriptの制限

スクリプトタグを使用してJavaScriptを読み込むことはできません。 また、イベントハンドラーでインラインJavaScriptを使用することもできません。

ブラウザのサポート

CSPはすべてのブラウザで適用されるわけではありません。 使用可能な各ブラウザのVersionについては公式サイトを参照してください。 IE11はCSPをサポートしていないため、セキュリティを強化するために、サポートされている他のブラウザを使用することをおすすめします。

CSP違反の検出

CSPポリシー違反は、ブラウザの開発者コンソールログに記録されます。アプリの機能に影響がない場合は、CSP違反は無視できます。

より厳格なCSP制限

Lightningコンポーネントフレームワークは、W3C標準であるContentSecurityPolicy(CSP)を使用して、ページに読み込むことができるコンテンツのソースを厳格に制御しています。 CSPルールはページレベルで機能し、Lightning Lockerが有効かどうかに関係なく、すべてのコンポーネントとライブラリに適用されます。クロスサイトスクリプティング攻撃のリスクをさらに軽減するために、[より厳格なContentSecurityPolicyを有効化]組織設定がVersion-Winter’19リリースで追加されました。この設定はデフォルトで有効になっています。 EnableStricterContentSecurityPolicy設定は、script-srcディレクティブの安全でないインラインソースを許可しません。スクリプトタグを使用してJavaScriptを読み込むことはできません。また、イベントハンドラーはインラインJavaScriptを使用できません。 注意点として、セキュリティを強化するために、[より厳密なContentSecurityPolicyを有効にする]設定は常に有効になっています。セッション設定で無効にした場合、インラインJavaScriptをブロックすることは引き続き有効です。安全でないインラインJavaScriptの制限が常に適用されるため、将来のリリースでセッション設定から設定を削除する予定です。 第三者のライブラリを含むすべてのコードが、すべてのCSP制限を尊重していることを確認する必要があります。

厳格なCSPは何に影響するか?

より厳格なCSPは、以下の項目に影響します。  Lightningの体験  Salesforceアプリ  作成する独立型アプリ(myApp.appなど) 以下の項目には、より厳格なCSPは影響しません。  Salesforceクラシック  SalesforceClassicのSalesforceコンソールなど、SalesforceClassicのすべてのアプリケーション  独自のCSP設定を持つExperience Builderサイト  LightningOut。これにより、Lightningアプリケーションの外部のコンテナでLightningコンポーネントを実行できます。たとえば、VisualforceおよびSalesforceTabs+VisualforceサイトのLightningコンポーネントなどです。 コンテナはCSPルールを定義します。 ExperienceBuilderサイトのCSPは、各サイトの設定によって個別に制御されます

Content Security Policyで安全なWeb編集を!

今回はCSP(ContentSecurityPolicy)の概要を紹介しました。JavaScript、外部フォント、画像、フレーム、ブラウザ等をCSPのルールを守って使用することにより、サイト訪問者の個人情報を保護し、悪意あるサイト攻撃を防ぎます。]]>

この記事の監修者・著者

株式会社オープンアップITエンジニア
株式会社オープンアップITエンジニアAWSパートナー/Salesforce認定コンサルティングパートナー 認定企業
ITエンジニア派遣サービス事業を行っています。AWSやSalesforceなど専門領域に特化したITエンジニアが4,715名在籍し、常時100名以上のITエンジニアの即日派遣が可能です。

・2021年:AWS Japan Certification Award 2020 ライジングスター of the Year 受賞
・2022年3月:人材サービス型 AWSパートナー認定
・AWS認定資格保有者数1,154名(2024年6月現在)
・Salesforce認定コンサルティングパートナー
・Salesforce認定資格者276名在籍(2024年5月現在)
・LPIC+CCNA 認定資格者:472 名(2024年6月時点)
ITエンジニアの派遣を利用したい企業様へ
ITエンジニアを派遣で採用したい企業様へ
  • 求人・転職サイトや自社採用サイトを使っているが、自社に合ったITエンジニアが応募してこない…
  • すぐに採用したいが、応募がぜんぜん集まらない
こんな悩みをお持ちの採用・人事担当者の方は、
オープンアップITエンジニアをご検討ください!

当社のITエンジニア派遣サービスは

  • 派遣スピードが速い!(最短即日)
  • 4,500名のエンジニアから貴社にマッチした人材を派遣
  • 正社員雇用も可能

こんな特長があり、貴社の事業やプロジェクトに合った最適なITエンジニアを派遣可能です。
まずは下記ボタンから無料でご相談ください。

無料相談のお申し込みはこちら
IT・技術関連の記事一覧へ

カテゴリから記事を探す

すべての記事一覧へ