概要

Content Security Policy(CSP)は、ウェブサイトの管理者がページで許可するリソースの読み込みを制御し、主に予防的なレベルでのセキュリティ向上を図るためのセキュリティレイヤーです。

CSPの設定は各リソースタイプ毎に許可を追加する形になっており、具体的な設定値に関してはポリシーや設計、サイトの対象ブラウザのバージョンなどによって調整いただく形になります。

CSPについて詳しくは、コンテンツセキュリティポリシー (CSP) - MDNなどの技術資料を参照してください。

許可すべきCSPソース値

*.karte.io

script, style, img, font, connectの各srcとして許可してください。

'unsafe-inline'

script, styleに対して許可してください。

<script>...</script><style>...</style><div style="...">などを動作させるために必要です。

'blitz-production-action.s3.ap-northeast-1.amazonaws.com'

scriptのsrcとして許可が必要です。

エレメントビルダー非対応(従来の形式)の接客アクションを利用する場合

施策アクションは内部形式によって「従来からの接客アクション」と「エレメントビルダーで作った接客アクション」の二種類に分かれます。従来からの接客アクションを利用する場合は下記の許可が必要になります。

'unsafe-eval'

scriptのsrcとして許可が必要です。また、styleのsrcとして許可が必要になるケースがあります。

img-karte-io.s3.amazonaws.com

imgのsrcとして許可してください。

設定の一例

実際の設定値はサイトの要件に合わせて設計を行うようにしてください。

Content-Security-Policy:
  default-src 'self' *.your-cdn.domain *.karte.io;
  img-src 'self' *.your-cdn.domain *.karte.io img-karte-io.s3.amazonaws.com;
  script-src 'self' 'unsafe-inline' *.your-cdn.domain *.karte.io 'unsafe-eval';
  style-src 'self' 'unsafe-inline' *.your-cdn.domain *.karte.io;