詳細設定 (プレビュー)
このトピックはプレリリース ドキュメントであり、変更される場合があります。
セキュリティ ワークスペースを使用すると、Power Pages デザイン スタジオから直接、サイトのコンテンツとデータをセキュリティの脅威からさらに保護できます。 詳細設定を使用して、サイトの HTTP ヘッダーを迅速かつ効率的に構成し、コンテンツ セキュリティ ポリシー (CSP)、クロス オリジン リソース共有 (CORS)、Cookie、アクセス許可などを構成します。
重要
- これはプレビュー機能です。
- プレビュー機能は運用環境での使用を想定しておらず、機能が制限されている可能性があります。 これらの機能を公式リリースの前に使用できるようにすることで、顧客が一足先にアクセスし、そこからフィードバックを得ることができます。
- Power Pages にサインインして、編集するサイトを開きます。
- 左側のナビゲーションから セキュリティ ワークスペース を選択し、詳細設定 (プレビュー)を選択します。
コンテンツ セキュリティ ポリシー (CSP) を構成する
コンテンツ セキュリティ ポリシー (CSP) は、Web サーバーが Web ページに一連のセキュリティ ルールを適用するために使用されます。 クロスサイト スクリプティング (XSS)、データ インジェクション、その他のコード インジェクション攻撃など、さまざまな種類のセキュリティ攻撃からサイトを保護するのに役立ちます。
ディレクティブ
次のディレクティブがサポートされています。
| ディレクティブ | 内容 |
|---|---|
| 既定のソース | 他のディレクティブによって明示的に定義されていないコンテンツの既定のソースを指定します。 これは他のディレクティブのフォールバックとして機能します。 |
| 画像ソース | 画像の有効なソースを指定します。 画像を読み込むことができるドメインを制御します。 |
| フォント ソース | フォントの有効なソースを指定します。 Web フォントを読み込むことができるドメインを制御するために使用されます。 |
| スクリプト ソース | JavaScript コードの有効なソースを指定します。 スクリプト ソースには、特定のドメイン、同じオリジンの場合は "self"、インライン スクリプトの場合は "unsafe-inline"、特定の nonce を持つスクリプトの場合は "nonce-xyz" を含めることができます。 nonce を有効にするか、安全でない eval を挿入するかを選択します。 サイトのコンテンツ セキュリティ ポリシー管理: ノンスを有効化に関する詳細 |
| スタイル ソース | スタイルシートの有効なソースを指定します。 script-src と同様に、ドメイン、"self"、"unsafe-inline"、および "nonce-xyz" を含めることができます。 |
| ソースを接続する | XMLHttpRequest、WebSocket、または EventSource の有効なソースを指定します。 ページがネットワーク要求を送信できるドメインを制御します。 |
| メディア ソース | 音声と動画の有効なソースを指定します。 メディア リソースを読み込むことができるドメインを制御するために使用されます。 |
| フレーム ソース | フレームの有効なソースを指定します。 ページにフレームを埋め込むことができるドメインを制御します。 |
| フレーム先祖 | 現在のページをフレームとして埋め込むことができる有効なソースを指定します。 どのドメインにページを埋め込むことを許可するかを制御します。 |
| フォーム アクション | フォーム送信の有効なソースを指定します。 フォーム データを送信できるドメインを定義します。 |
| オブジェクト ソース | Flash ファイルやその他の埋め込みオブジェクトなど、オブジェクト要素のリソースの有効なソースを指定します。 これらのオブジェクトをどのオリジンから読み込むことができるかを制御するのに役立ちます。 |
| ワーカー ソース | 専用ワーカー、共有ワーカー、サービス ワーカーなどの Web ワーカーの有効なソースを指定します。 これらのワーカー スクリプトをどのオリジンから読み込んで実行できるかを制御するのに役立ちます。 |
| マニフェスト ソース | 専用ワーカー、共有ワーカー、サービス ワーカーなどの Web ワーカーの有効なソースを指定します。 これらのワーカー スクリプトをどのオリジンから読み込んで実行できるかを制御するのに役立ちます。 |
| 子リソース | 専用ワーカー、共有ワーカー、サービス ワーカーなどの Web ワーカーの有効なソースを指定します。 これらのワーカー スクリプトをどのオリジンから読み込んで実行できるかを制御するのに役立ちます。 |
各ディレクティブに対して、特定の URL かすべてのドメインを選択するか、またはいずれも選択できません。
詳細な設定については、サイトのコンテンツ セキュリティ ポリシーを管理する: サイトの CSP を設定するを参照してください。
クロス オリジン リソース共有 (CORS) の構成
クロスオリジン リソース共有 (CORS) は、あるドメインで実行される Web アプリケーションに対して別のドメインのリソースの要求やアクセスを許可または制限するために、Web ブラウザーによって使用されます。
ディレクティブ
次のディレクティブがサポートされています。
| ディレクティブ | 内容 | 値 |
|---|---|---|
| サーバーからのリソースへのアクセスを許可する | Access-Control-Allow-Origin とも呼ばれ、サーバーがリソースへのアクセスを許可するオリジンを決定するのに役立ちます。 オリジンには、ドメイン、プロトコル、ポートなどがあります。 | ドメイン URL を選択 |
| サーバー要求中にヘッダーを送信する | Access-Control-Allow-Headers とも呼ばれ、サーバーのリソースにアクセスするために別のオリジンからの要求で送信できるヘッダーの定義に役立ちます。 | 以下の権限、 オリジン 承認 認証 コンテンツ – タイプを持つ特定のヘッダーを選択する |
| クライアント側のコードでヘッダー値を公開する | Access-Control-Expose-Headers とも呼ばれるこのディレクティブは、クロスオリジン要求でどの応答ヘッダーを公開し、要求元のクライアント側コードにアクセスできるようにするかをブラウザーに指示します。 | 以下の権限、 オリジン 承認 認証 コンテンツ – タイプを持つ特定のヘッダーを選択する |
| リソースにアクセスするメソッドを定義する | Access-Control-Allow-Methods とも呼ばれ、異なるオリジンからサーバーのリソースにアクセスする場合に、許可されるべき HTTP メソッドの定義に役立ちます。 | GET - 指定されたリソースからデータを要求します POST - 処理するデータを指定されたリソースに送信します PUT - 特定の URL のリソースを更新または置き換えます HEAD - GET と同じですが、実際のコンテンツではなくヘッダーのみを取得します PATCH - リソースを部分的に変更します OPTIONS - リソースまたはサーバーで使用できる通信オプションに関する情報を要求します DELETE - 指定されたリソースを削除します |
| 要求の結果をキャッシュする期間を指定する | Access-Control-Max-Age とも呼ばれ、プリフライト要求の結果をキャッシュできる期間をブラウザーが定義する際に役立ちます。 | 期間を時間で指定する (秒単位) |
| 資格情報の共有をサイトに許可する | Access-Control-Allow-Credentials とも呼ばれ、クロスオリジン要求で Cookie、認証ヘッダー、クライアント側 SSL 証明書などの資格情報を、サイトが共有できるかどうかを定義する場合に役立ちます。 | はい/いいえ |
| 同じ発信元の iFrame として Web ページを表示する | X-Frame-Options とも呼ばれ、同じオリジンから要求が送信された場合にのみ、そのページを iframe に表示できるよう許可します。 | はい/いいえ |
| MIME スニッフィングをブロックする | X-Content-Type-Options: no-sniff とも呼ばれ、Web ブラウザーによる MIME タイプ (コンテンツ タイプ) スニッフィングの実行や、リソースのコンテンツ タイプの推測を制限する際に役立ちます。 | はい/いいえ |
Cookie の構成 (CSP)
HTTP 要求の Cookie ヘッダーには、以前 Web サイトがブラウザーに保存した Cookie に関する情報が含まれています。 Web サイトにアクセスすると、ブラウザーはそのサイトに関連付けられたすべての関連 Cookie を含む Cookie ヘッダーをサーバーに送り返します。
ディレクティブ
次のディレクティブがサポートされています。
| ディレクティブ | 内容 | ヘッダー |
|---|---|---|
| すべての Cookie の転送ルール | クロスオリジン要求で Cookie を送信する方法を制御します。 これは、特定の種類のクロスサイト リクエスト フォージェリ (CSRF) および情報漏洩攻撃を軽減することを目的としたセキュリティ機能です。 | この設定は、ヘッダー SameSite/Default に対応します。 |
| 特定の Cookie の転送ルール | クロスオリジン要求で Cookie を送信する方法を制御します。 これは、特定の種類のクロスサイト リクエスト フォージェリ (CSRF) および情報漏洩攻撃を軽減することを目的としたセキュリティ機能です。 | この設定は、ヘッダー ameSite/Specific Cookie に対応します。 |
アクセス許可ポリシーの構成 (CSP)
Permissions-Policy ヘッダーを使用すると、Web 開発者は Web ページでどの Web プラットフォーム機能を許可または拒否するかを制御できます。
ディレクティブ
次のディレクティブがサポートされており、それぞれの API へのアクセスを制御します。
- 加速度計
- Ambient-Light-Sensor
- 自動再生
- バッテリー
- カメラ
- 表示
- Document-Domain
- Encrypted-Media
- Execution-While-Not-Rendered
- Execution-While-Out-Of-Viewport
- 全画面表示
Gamepad
- 位置情報
- Gyroscope
- Hid
- Identity-Credentials-Get
- Idle-Detection
- Local-Fonts
- Magnetometer
- マイク
- Midi
- Otp-Credentials
- 支払い
- Picture-In-Picture
- Publickey-Credentials-Create
- Publickey-Credentials-Get
- Screen-Wake-Lock
- シリアル
- Speaker-Selection
- Storage-Access
- Usb
- Web-Share
- Window-Management
- Xr-Spatial-Tracking
他の HTTP ヘッダーを構成する
HTTPS の安全な接続を許可する
HTTP Strict-Transport-Security ヘッダーに対応する設定は、ユーザーがアドレス バーに「http://」と入力しても、ブラウザーにユーザーが HTTPS でのみ Web サイトに接続すべきだと知らせます。 サーバーとのすべてのコミュニケーションが暗号化され、プロトコル ダウングレード攻撃や Cookie ハイジャックなどの特定の種類の攻撃からの保護を保証することで、中間者攻撃を防ぐのに役立ちます。
注意
セキュリティ上の理由により、この設定は変更できません。
HTTP ヘッダーに参照元情報を含める
Referrer-Policy HTTP ヘッダーは、ユーザーがあるページから別のページに移動するときに、要求元に関する情報 (参照元情報) が HTTP ヘッダーにどの程度公開されるかを制御するために使用されます。 このヘッダーは、参照元情報に関連するプライバシーとセキュリティの側面を制御するのに役立ちます。
| 価値 | 内容 |
|---|---|
| 参照元なし | 参照元なしは、ヘッダーで参照元情報が送信されないことを意味します。 この設定は、最もプライバシーに配慮したオプションです。 |
| ダウングレード時の参照元なし | HTTPS サイトから HTTP サイトに移動する場合は完全な参照元情報が送信されますが、HTTPS サイト間を移動する場合はオリジンのみが送信されます (パスやクエリは送信されません)。 |
| 同じオリジン - 参照元ポリシー | 同じオリジンは、要求が同じオリジンに対して行われた場合にのみ、完全な参照元情報を送信します。 クロスオリジン リクエストの場合、オリジンのみが送信されます。 |
| オリジン | オリジンは、同じオリジン要求とクロスオリジン要求の両方において、参照元のオリジンを送信しますが、パスやクエリ情報は送信しません。 |
| 厳格なオリジン | オリジンと似ていますが、オリジンが同じ要求の参照元情報のみが送信されます。 |
| クロスオリジン時のオリジン | オリジンと似ていますが、オリジンが同じ要求の参照元情報のみが送信されます。 |