この文章は Salesforce 機械翻訳システムを使用して翻訳されました。詳細はこちらをご参照ください。
英語に切り替える

厳格な CSP 制限の重要な更新

Lightning コンポーネントフレームワークでは、すでに W3C 標準のコンテンツセキュリティポリシー (CSP) を使用して、ページに読み込むことができるコンテンツのソースを制御しています。重要な更新「Lightning コンポーネントの厳格なコンテンツセキュリティポリシーの有効化」は、CSP を強化して、クロスサイトスクリプティング攻撃のリスクを軽減します。厳格な CSP は、Sandbox 組織および Developer Edition 組織でのみ適用されます。

厳格な CSP によってインラインスクリプト (script-src) の unsafe-inline および unsafe-eval キーワードが禁じられます。eval() またはインライン JavaScript コード実行を使用してすべてのコールを削除し、使用するコードとサードパーティライブラリがこれらのルールに従っていることを確認してください。サードパーティライブラリを unsafe-inlineunsafe-eval に依存しない最近のバージョンに更新する必要がある可能性があります。

元々、厳格な CSP は、Summer '17 の重要な更新で自動的にすべての組織で有効になった LockerService の一部でした。コードの更新により多くの時間をかけられるように、厳格な CSP は Summer '17 の LockerService から分離されました。

メモ

重要な更新のスケジュール

厳格な CSP は、他の組織でも段階的に使用可能になります。予定されているスケジュールを次に示しますが、このスケジュールは今後のリリースで変更される可能性があります。

Winter '18
重要な更新は、Sandbox 組織と Developer Edition 組織でのみ利用可能です。
Spring '18 (将来の計画)
重要な更新は、本番組織を含むすべての組織に適用されます。
Winter '19 (将来の計画)
重要な更新が期限切れになったときに、すべての組織で自動的に有効化されます。

重要な更新の有効化

厳格な CSP は、重要な更新「Lightning LockerService セキュリティの有効化」が以前に有効化されている Sandbox 組織と Developer Edition 組織でデフォルトで有効になります。その他すべての Sandbox 組織と Developer Edition 組織では、厳格な CSP はデフォルトで無効になります。

厳格な CSP を有効にする手順は、次のとおりです。

  1. [設定] から、[クイック検索] ボックスに「重要な更新」と入力して、[重要な更新] を選択します。
  2. 「Lightning コンポーネントの厳格なコンテンツセキュリティポリシーの有効化」で、[有効化] をクリックします。
  3. ブラウザページを更新して、厳格な CSP の有効化に進みます。

この重要な更新による影響

重要な更新「Lightning コンポーネントの厳格なコンテンツセキュリティポリシーの有効化」により、Sandbox 組織と Developer Edition 組織で CSP を厳格化します。

  • Lightning Experience
  • Salesforce アプリケーション
  • 独自に作成したスタンドアロンアプリケーション (myApp.app など)

コミュニティの CSP を厳格化するものとして、別個の重要な更新「コミュニティでの Lightning コンポーネントの厳格なコンテンツセキュリティポリシーの有効化」があります。

メモ

この重要な更新は次には影響しません。

  • Salesforce Classic
  • Salesforce Classic のアプリケーション (Salesforce Classic の Salesforce コンソールなど)
  • Lightning アプリケーション外のコンテナにある Lightning コンポーネント (Visualforce や Visualforce ベースのコミュニティの Lightning コンポーネントなど) を実行できる Lightning Out。そのコンテナで CSP ルールが定義されます。