プレミアムコース以上で利用可能です
リソースの読み込みを制限する機能は、どのような種類のリソースを、どのホストから読み込めるかを設定/制限する機能です。
リソースの読み込みを制限することによって、Content Security Policy (CSP) を設定し、セキュリティを強化することができます。
CSPは、許可したリソースのみ読み込み可能にするブラウザの機能です。
この機能を利用するメリットは、クロスサイトスクリプティングやデータインジェクションといった攻撃が発生しても、不正なホストから不正なリソースが読み込まれるのを防げることにあります。
リソースタイプと役割
リソースタイプ | 役割 |
---|---|
・JavaScript ・CSS | ほかのホストに設定しているJavaScriptやCSSを読み込む場合、読み込む先として指定できるホストを設定します。 |
・imgタグ ・フォント ・object,embedタグ ・audio,videoタグ ・iframe,frameタグ ・formタグ | スクリプトでこれらのタグを ドキュメント (HTML) に追加する場合、読み込み先として指定できるホストを設定します。 例として、カスタマイズ JavaScript で、<img src"...">のタグをドキュメントに追加して動的に画像を表示したいとき、src (画像の読み込み先) のホスト名を指定します。 |
・Ajax通信 | JavaScript で非同期通信を行う (他のサーバにアクセスしてデータを取得する) ときに、通信することができるホストを指定します。 非同期通信の例としては、郵便番号から住所を取得するスクリプトが Ajax 通信で住所を取得していることが挙げられます。 |
・iframe元 | 指定したホスト以外のページに、公開フォームを iframe で埋め込むことができないよう制限します。 |
補足
リストビューにおいて、2024年9月18日(水)以降に新規作成されたビューの場合、もしくは「新バージョン」を選択している場合、
リソースの読み込み制限を有効にしていて iframeの埋め込みを行う際は、
埋め込み先のWebページをリソースタイプ「iframe元(frame-ancestors)」で
追加する必要があります。
設定方法
1.詳しい設定から、『リソースの読み込み制限』の設定に進みます。
「リソースの読み込みを制限する」を選択します。
補足
「リソースの読み込みを制限する」を有効にするのみで、kViewer上で設定しているリソース(kViewer自身、およびビューの設定によって 、フォームブリッジ、プリントクリエイター、Google Analytics、 など)以外は排除する設定にすることができます。2.許可する外部リソースを設定する場合は、[許可する外部リソースを追加する]ボタンから、リソースタイプを選択し、許可する外部リソースのホストを設定します。
3.[プレビュー]から、外部へのアクセス有無を確認します。
エラーが表示されなければ、設定に問題はありません。
[保存]して、[更新]まで行います。
補足
プレビューしたときに、以下のようなエラーが表示される場合は、許可されていない外部リソースがあります。