プレミアムコース以上で利用可能です
リソースの読み込みを制限する機能は、どのような種類のリソースを、どのホストから読み込めるかを設定/制限する機能です。
リソースの読み込みを制限することによって、Content Security Policy (CSP) を設定し、セキュリティを強化することができます。
CSPは、許可したリソースのみ読み込み可能にするブラウザの機能です。
この機能を利用するメリットは、クロスサイトスクリプティングやデータインジェクションといった攻撃が発生しても、不正なホストから不正なリソースが読み込まれるのを防げることにあります。
リソースタイプと役割
| リソースタイプ | 役割 |
|---|---|
| ・JavaScript ・CSS | ほかのホストに設定しているJavaScriptやCSSを読み込む場合、読み込む先として指定できるホストを設定します。 |
| ・imgタグ ・フォント ・object,embedタグ ・audio,videoタグ ・iframe,frameタグ ・formタグ | スクリプトでこれらのタグを ドキュメント (HTML) に追加する場合、読み込み先として指定できるホストを設定します。 例として、カスタマイズ JavaScript で、<img src"...">のタグをドキュメントに追加して動的に画像を表示したいとき、src (画像の読み込み先) のホスト名を指定します。 |
| ・Ajax通信 | JavaScript で非同期通信を行う (他のサーバにアクセスしてデータを取得する) ときに、通信することができるホストを指定します。 非同期通信の例としては、郵便番号から住所を取得するスクリプトが Ajax 通信で住所を取得していることが挙げられます。 |
| ・iframe元 | 指定したホスト以外のページに、公開フォームを iframe で埋め込むことができないよう制限します。 |
補足
リソースの読み込み制限を有効にしていて iframeの埋め込みを行う場合は、埋め込み先のWebページをリソースタイプ「iframe元(frame-ancestors)」で追加する必要があります。設定方法
1.詳しい設定から、『リソースの読み込み制限』の設定に進みます。
「有効にする」を選択します。
補足
リソースの読み込み制限を「有効にする」のみで、フォームブリッジ上で設定しているリソース(フォームブリッジ自身、およびフォーム設定によって kViewer、Google Analytics、Recaptcha など)以外は排除する設定にすることができます。2.許可する外部リソースを設定する場合は、[追加]ボタンから、リソースタイプを選択し、許可する外部リソースのホストを設定します。
3.[プレビュー]から、外部へのアクセス有無を確認します。
エラーが表示されなければ、設定に問題はありません。
[更新]まで行います。
補足
プレビューしたときに、以下のようなエラーが表示される場合は、許可されていない外部リソースがあります。※現状、新バージョンフォームでは表示されないため、許可されていない外部リソースはブラウザの開発者ツールなどを使ってご確認ください。
