コンテンツセキュリティポリシー (CSP)

Promolayerのためのコンテンツセキュリティポリシー設定ガイド

概要

コンテンツセキュリティポリシー（CSP）は、クロスサイトスクリプティング（XSS）やデータインジェクション攻撃など、特定の種類の攻撃を検出し、軽減するための重要なセキュリティ機能です。Promolayerが正しく機能するためには、特定のドメインをCSPに許可する必要があります。このガイドでは、これらのドメインを含めるためにCSPを更新する方法を説明します。

追加するドメイン

Promolayerのすべての機能が期待通りに動作するために、より広範なカバレッジのためにすべてのサブドメインを許可するか、より厳密なセキュリティのために個々のサブドメインを指定するかを選択できます。

オプション1: すべてのサブドメインを許可（簡易なため推奨）

以下のワイルドカードドメインをCSPに追加します：

*.peakdigital.cloud
*.promolayer.io
*.promolayer-images.b-cdn.net

オプション2: 個別のドメインを指定（より厳密なセキュリティのため）

より厳密なセキュリティを好む場合は、以下のドメインをCSPに含めます：

geoip.peakdigital.cloud
a.promolayer.io
displayscdn.promolayer.io
modules.promolayer.io
promolayer-images.b-cdn.net
scripts.promolayer.io
api.promolayer.io

CSPの更新方法

ステップ1: CSPの場所を特定する
CSPは通常、HTMLドキュメントの<meta>タグ内、またはWebホスティングプロバイダーによって管理されるHTTPヘッダーを通じて定義されます。

ステップ2: CSPを更新する
CSPを<meta>タグで使用している場合は、content属性を以下のように変更し、ドメインの追加オプションに基づいて適切なオプションを選択します：

<!-- オプション1: ワイルドカードドメイン -->
<meta http-equiv="Content-Security-Policy" content="default-src 'self' *.peakdigital.cloud *.promolayer.io *.promolayer-images.b-cdn.net;">

<!-- オプション2: 特定のドメイン -->
<meta http-equiv="Content-Security-Policy" content="default-src 'self'; script-src 'self' scripts.promolayer.io; connect-src 'self' api.promolayer.io; img-src 'self' promolayer-images.b-cdn.net; frame-src 'self' modules.promolayer.io; style-src 'self' displayscdn.promolayer.io; child-src 'self' a.promolayer.io;">

ステップ3: CSPを検証する
アプリケーションをテストして、Promolayerのすべての機能が期待どおりに機能することを確認します。Google ChromeやMozilla Firefoxなどのブラウザのコンソールを使用してCSP違反を監視し、これらの問題をログします。

更新日 24/04/2024