スタートガイドスタートガイド

スタートガイドには、KARTEを初めてご利用される方向けのガイドと、KARTEの全容を大まかに把握する基礎仕様についてのドキュメントがまとまっています。

ドキュメントドキュメント

管理画面の仕様・利用方法に関するドキュメントです。コンテンツの分割は基本的に、管理画面のグローバルナビゲーションに対応しています。

レシピレシピ

レシピには、KARTEを活用したユースケース・HOWTOテキスト・クックブックと呼ばれるようなコンテンツがまとまっています

リソース

その他のKARTEリソースをご紹介いたします

どんなことでお困りですか？

どんなことでお困りですか？

CSPを使用したサイトで追加的に必要になる許可

Naoto Kato

2024/05/08

サイトセキュリティ

この記事は基礎的なHTML/CSS/JavaScriptの知識が必要です

この記事は基礎的なセキュリティ対策の知識が必要です。

概要

Content Security Policy（CSP）は、ウェブサイトの管理者がページで許可するリソースの読み込みを制御し、主に予防的なレベルでのセキュリティ向上を図るためのセキュリティレイヤーです。

CSPの設定は各リソースタイプ毎に許可を追加する形になっており、具体的な設定値に関してはポリシーや設計、サイトの対象ブラウザのバージョンなどによって調整いただく形になります。

CSPについて詳しくは、コンテンツセキュリティポリシー (CSP) - MDNなどの技術資料を参照してください。

許可すべきCSPソース値

*.karte.io

script, style, img, font, connectの各srcとして許可してください。

'unsafe-inline'

script, styleに対して許可してください。

<script>...</script>や<style>...</style>、<div style="...">などを動作させるために必要です。

'blitz-production-action.s3.ap-northeast-1.amazonaws.com'

scriptのsrcとして許可が必要です。

エレメントビルダー非対応（従来の形式）の接客アクションを利用する場合

施策アクションは内部形式によって「従来からの接客アクション」と「エレメントビルダーで作った接客アクション」の二種類に分かれます。従来からの接客アクションを利用する場合は下記の許可が必要になります。

'unsafe-eval'

scriptのsrcとして許可が必要です。また、styleのsrcとして許可が必要になるケースがあります。

img-karte-io.s3.amazonaws.com

imgのsrcとして許可してください。

設定の一例

実際の設定値はサイトの要件に合わせて設計を行うようにしてください。

Content-Security-Policy:
  default-src 'self'　*.your-cdn.domain *.karte.io;
  img-src 'self'　*.your-cdn.domain *.karte.io img-karte-io.s3.amazonaws.com;
  script-src 'self' 'unsafe-inline'　*.your-cdn.domain *.karte.io 'unsafe-eval';
  style-src 'self' 'unsafe-inline' *.your-cdn.domain *.karte.io;

間違い、誤植等があれば教えて下さい😃

目次