厳格な CSP 制限の重要な更新
Lightning コンポーネントフレームワークでは、すでに W3C 標準のコンテンツセキュリティポリシー (CSP) を使用して、ページに読み込むことができるコンテンツのソースを制御しています。重要な更新「Lightning コンポーネントの厳格なコンテンツセキュリティポリシーの有効化」は、CSP を強化して、クロスサイトスクリプティング攻撃のリスクを軽減します。厳格な CSP は、Sandbox 組織および Developer Edition 組織でのみ適用されます。
厳格な CSP によってインラインスクリプト (script-src) の unsafe-inline および unsafe-eval キーワードが禁じられます。eval() またはインライン JavaScript コード実行を使用してすべてのコールを削除し、使用するコードとサードパーティライブラリがこれらのルールに従っていることを確認してください。サードパーティライブラリを unsafe-inline や unsafe-eval に依存しない最近のバージョンに更新する必要がある可能性があります。
重要な更新のスケジュール
厳格な CSP は、他の組織でも段階的に使用可能になります。予定されているスケジュールを次に示しますが、このスケジュールは今後のリリースで変更される可能性があります。
- Winter '18
- 重要な更新は、Sandbox 組織と Developer Edition 組織でのみ利用可能です。
- Spring '18 (将来の計画)
- 重要な更新は、本番組織を含むすべての組織に適用されます。
- Winter '19 (将来の計画)
- 重要な更新が期限切れになったときに、すべての組織で自動的に有効化されます。
重要な更新の有効化
厳格な CSP は、重要な更新「Lightning LockerService セキュリティの有効化」が以前に有効化されている Sandbox 組織と Developer Edition 組織でデフォルトで有効になります。その他すべての Sandbox 組織と Developer Edition 組織では、厳格な CSP はデフォルトで無効になります。
厳格な CSP を有効にする手順は、次のとおりです。
- [設定] から、[クイック検索] ボックスに「重要な更新」と入力して、[重要な更新] を選択します。
- 「Lightning コンポーネントの厳格なコンテンツセキュリティポリシーの有効化」で、[有効化] をクリックします。
- ブラウザページを更新して、厳格な CSP の有効化に進みます。
この重要な更新による影響
重要な更新「Lightning コンポーネントの厳格なコンテンツセキュリティポリシーの有効化」により、Sandbox 組織と Developer Edition 組織で CSP を厳格化します。
- Lightning Experience
- Salesforce アプリケーション
- 独自に作成したスタンドアロンアプリケーション (myApp.app など)
この重要な更新は次には影響しません。
- Salesforce Classic
- Salesforce Classic のアプリケーション (Salesforce Classic の Salesforce コンソールなど)
- Lightning アプリケーション外のコンテナにある Lightning コンポーネント (Visualforce や Visualforce ベースのコミュニティの Lightning コンポーネントなど) を実行できる Lightning Out。そのコンテナで CSP ルールが定義されます。