概要
Content Security Policy(CSP)は、ウェブサイトの管理者がページで許可するリソースの読み込みを制御し、主に予防的なレベルでのセキュリティ向上を図るためのセキュリティレイヤーです。
CSPの設定は各リソースタイプ毎に許可を追加する形になっており、具体的な設定値に関してはポリシーや設計、サイトの対象ブラウザのバージョンなどによって調整いただく必要があります。
このドキュメントでは、KARTEを正常に動作させるために許可が必要なCSPソース値を記載します。自サイトのポリシーに合わせた形で設定を追加してください。
CSPについて詳しくは、コンテンツセキュリティポリシー (CSP) - MDNなどの技術資料を参照してください。
許可すべきCSPソース値
*.karte.io
- script-src
- style-src
- img-src
- font-src
- connect-src
のソースとして許可してください。
wss://*.karte.io
- connect-src
のソースとして許可してください。
'unsafe-inline'
- script-src
- style-src
のソースとして許可してください。
<script>...</script>や<style>...</style>、<div style="...">などを動作させるために必要です。
https://blitz-production-action.s3.ap-northeast-1.amazonaws.com
- script-src
のソースとして許可してください。
マルチドメインモードをご利用の場合
https://ktid.karte-edge.io
- frame-src
のソースとして許可してください。
マルチドメインモードを利用しない場合は追加不要です。
エレメントビルダー非対応(従来の形式)の接客アクションを利用する場合
施策アクションは内部形式によって「従来からの接客アクション」と「エレメントビルダーで作った接客アクション」の二種類に分かれます。従来からの接客アクションを利用する場合は下記の許可が必要になります。
'unsafe-eval'
- script-src
のソースとして許可してください。
また、 style-src のソースとして許可が必要になるケースがあります。
https://img-karte-io.s3.amazonaws.com
- img-src
のソースとして許可してください。