この文章は Salesforce 機械翻訳システムを使用して翻訳されました。詳細はこちらをご参照ください。
英語に切り替える

Lightning Aura Components Developer Guide (Lightning Aura コンポーネント開発者ガイド)

Lightning コンポーネントフレームワークとは?
クイックスタート
コンポーネントの作成
コンポーネントの使用
イベントとの通信
アプリケーションの作成
アプリケーションのスタイル設定
セキュアなコードの開発
Lightning Locker とは?
コンテンツセキュリティポリシーの概要
厳格な CSP 制限
JavaScript プロトタイプの凍結
JavaScript の使用
Apex の使用
Lightning データサービス
Lightning Testing Service を使用したコンポーネントのテスト
デバッグ
パフォーマンス
リファレンス
PDF

コンテンツセキュリティポリシーの概要

Lightning コンポーネントフレームワークでは、W3C 標準のコンテンツセキュリティポリシー (CSP) を使用して、ページに読み込むことができるコンテンツの読み込み元を制御します。

CSP は、Web アプリケーションセキュリティに関する W3C ワーキンググループの勧告候補です。このフレームワークでは、W3C が推奨する Content-​Security-​Policy HTTP ヘッダーを使用しています。

フレームワークの CSP は、次のリソースに対応しています。

JavaScript ライブラリ
すべての JavaScript ライブラリは、Salesforce 静的リソースにアップロードする必要があります。詳細は、「外部 JavaScript ライブラリの使用」 を参照してください。
リソースの HTTPS 接続
すべての外部フォント、画像、フレーム、および CSS は、HTTPS URL を使用する必要があります。

CSP 信頼済みサイトを追加すれば、CSP ポリシーを変更して、サードパーティリソースへのアクセスを拡張できます。

ブラウザサポート

CSP が適用されないブラウザもあります。CSP が適用されるブラウザのリストについては、caniuse.com を参照してください。

IE11 では CSP がサポートされていないため、サポートされている他のブラウザを使用してセキュリティを強化することをお勧めします。

メモ

CSP 違反の検出

ポリシー違反は、ブラウザの開発者コンソールのログに記録されます。違反は次のようなメッセージになります。

1Refused to load the script 'https://externaljs.docsample.com/externalLib.js'
2because it violates the following Content Security Policy directive: ...

アプリケーションの機能に影響がない場合は、CSP 違反を無視できます。