リソースの読み込み制限

プレミアムコース以上で利用可能です

リソースの読み込みを制限する機能は、どのような種類のリソースを、どのホストから読み込めるかを設定/制限する機能です。
リソースの読み込みを制限することによって、Content Security Policy (CSP) を設定し、セキュリティを強化することができます。
CSPは、許可したリソースのみ読み込み可能にするブラウザの機能です。

この機能を利用するメリットは、クロスサイトスクリプティングやデータインジェクションといった攻撃が発生しても、不正なホストから不正なリソースが読み込まれるのを防げることにあります。

リソースタイプと役割

リソースタイプ役割
・JavaScript
・CSS
ほかのホストに設定しているJavaScriptやCSSを読み込む場合、読み込む先として指定できるホストを設定します。
・imgタグ
・フォント
・object,embedタグ
・audio,videoタグ
・iframe,frameタグ
・formタグ
スクリプトでこれらのタグを ドキュメント (HTML) に追加する場合、読み込み先として指定できるホストを設定します。
例として、カスタマイズ JavaScript で、<img src"...">のタグをドキュメントに追加して動的に画像を表示したいとき、src (画像の読み込み先) のホスト名を指定します。
・Ajax通信JavaScript で非同期通信を行う (他のサーバにアクセスしてデータを取得する) ときに、通信することができるホストを指定します。
非同期通信の例としては、郵便番号から住所を取得するスクリプトが Ajax 通信で住所を取得していることが挙げられます。
・iframe元指定したホスト以外のページに、公開フォームを iframe で埋め込むことができないよう制限します。
補足
リソースの読み込み制限を有効にしていて iframeの埋め込みを行う場合は、埋め込み先のWebページをリソースタイプ「iframe元(frame-ancestors)」で追加する必要があります。

設定方法

1.詳しい設定から、『リソースの読み込み制限』の設定に進みます。

「有効にする」を選択します。

補足
リソースの読み込み制限を「有効にする」のみで、フォームブリッジ上で設定しているリソース(フォームブリッジ自身、およびフォーム設定によって kViewer、Google Analytics、Recaptcha など)以外は排除する設定にすることができます。

2.許可する外部リソースを設定する場合は、[追加]ボタンから、リソースタイプを選択し、許可する外部リソースのホストを設定します。


3.[プレビュー]から、外部へのアクセス有無を確認します。
エラーが表示されなければ、設定に問題はありません。

[更新]まで行います。

補足
プレビューしたときに、以下のようなエラーが表示される場合は、許可されていない外部リソースがあります。