Overview
コンテンツセキュリティポリシー(CSP)に基づく制限の設定オプションを表示します。システム管理者がアプリレベルで定義された動作を制限できるようにし、セキュリティの向上に貢献します。
CSP設定
- コンテンツセキュリティポリシー(CSP)による制限を有効にする
CSP許可リスト
許可設定を追加
- 制限項目*
- スクリプトファイル取得 (script-src)
- データ通信 (connect-src)
- 信頼するホスト*
- コメント
- 有効
スクリプトファイル取得
-
- 信頼するホスト / コメント / ステータス / 更新ユーザ / 更新日時
データ通信
-
- 信頼するホスト / コメント / ステータス / 更新ユーザ / 更新日時
CSPレポート
- move_selection_right 今日 / 昨日 / 今月 / 先月
- 日付範囲
-
- ディレクティブ / 違反検知ホスト / 件数
- Download CSV
Capture
Notes
- コンテンツセキュリティポリシー(CSP)の制限を有効にし、許可リストを設定できます
- データ項目の[説明]欄(処理フォーム画面のデコレーション)に記載の Markdown/HTML/JavaScript が対象です
- システム管理者がアプリ定義の動作を制限することで、セキュリティが向上されます
- ワークフロー基盤全体の共通設定です(アプリごとに設定することはできません)
- コンテンツセキュリティポリシー(CSP)違反レポートを閲覧できます
- [CSP レポート]には、「外部サイトへのアクセス」のうち、「CSP 設定で許可されているホストへのアクセス」を除外した内容が記録されます
- CSP 制限の有効/無効にかかわらず、レポートが記録されます
- 有効の場合:アクセスはブロックされ、レポートに記録されます
- 無効の場合:ブロックは行われず、レポートに記録のみされます
- レポート CSV の Disposition フィールドで、有効/無効のいずれであったかを識別できます
- 全て漏れなく記録されることは保証されません
- 短時間に多数のアクセスがあった場合、一部のアクセスは記録されません
- CSP レポートの保存期間は約 2ヶ月で、保存期間経過後は自動的に削除されます
- 新規ワークフロー基盤では、デフォルトで「CSP 制限が有効」に設定されます
- Ver. 17.2 以降に新規構築されたワークフロー基盤では、デフォルトでは外部サイトからのスクリプト読み込みや外部への AJAX 通信は実行できなくなっています
- Ver. 17.1 から 17.2 にアップデートされた既存のワークフロー基盤では、CSP による制限は無効化されたままです(動作は変わりません)
