この文章は Salesforce 機械翻訳システムを使用して翻訳されました。詳細はこちらをご参照ください。
英語に切り替える

Lightning コミュニティ開発者ガイド

Lightning コミュニティを使いこなすには
Lightning コミュニティの開発: 基本
Lightning テンプレートの外観のカスタマイズ
例: 集約されたテーマレイアウトコンポーネントの作成
セキュアなコードの開発: Lightning Locker と CSP
コミュニティの Lightning Locker
Lightning コミュニティのコンテンツセキュリティポリシー
コミュニティパフォーマンスの分析と向上
コミュニティでの CMS の使用
デフレクションの報告: デフレクションシグナルフレームワーク
Sandbox から本番組織へのコミュニティのリリース
PDF

Lightning コミュニティのコンテンツセキュリティポリシー

Lightning コミュニティでは、コンテンツセキュリティポリシー (CSP) を適用します。CSP は、ページに読み込むコンテンツのソースを制御するための W3C 標準です。

Winter ’19 では、重要な更新「コミュニティでの Lightning コンポーネントの厳格なコンテンツセキュリティポリシーの有効化」がエクスペリエンスビルダーの [設定] | [セキュリティ] にある新しい CSP オプションに置き換えられました。

メモ

エクスペリエンスビルダーは、Lightning コミュニティで異なるレベルのスクリプトセキュリティを提供します。CSP レベルはコミュニティに固有です。Salesforce ヘルプの「Select a Security Level in Lightning Communities (Lightning コミュニティでのセキュリティレベルの選択)」を参照してください。

セキュリティレベル 説明
厳格な CSP: インラインスクリプトと、すべてのサードパーティホストへのスクリプトアクセスをブロック Spring '19 (2019 年 2 月) 以降に作成されたコミュニティのデフォルト設定。
最大のセキュリティが提供されます。
  • すべてのインラインスクリプトの実行と、リモート JavaScript ファイルに対するすべての要求をブロックします。
  • 明示的に許可されているサードパーティホストからの非スクリプトリソース (画像など) の表示は許可されます。
  • Lightning Locker は有効になります。
インラインスクリプトと、ホワイトリストに登録されたサードパーティホストへのスクリプトアクセスを許可 中程度のセキュリティが提供されます。
  • サイトでのインラインスクリプトの実行を許可します。
  • 明示的に許可されているサードパーティホストからのリモート JavaScript ファイルの読み込みと非スクリプトリソース (画像など) の表示は許可されます。
  • Lightning Locker を無効化できます。
インラインスクリプトと、任意のサードパーティホストへのスクリプトアクセスを許可 追加のセキュリティは提供されませんが、現在の設計どおりにコミュニティを機能させることができます。
  • 何もブロックしません。
  • ホストを明確に特定する必要なく、すべてのサードパーティホストへのアクセスが許可されます。
  • Lightning Locker は有効になります。

このオプションは、Spring '19 より前に作成されたコミュニティにのみ表示されます。Spring ’21 (2021 年 2 月) では、このオプションは削除されます。

メモ

厳格な CSP は、インラインスクリプトの unsafe-inline キーワードを禁止することで、クロスサイトスクリプティング (XSS) 攻撃や、他のコンテンツ挿入攻撃のリスクを緩和します。サードパーティライブラ���を unsafe-inline に依存しない新しいバージョンに更新することを検討してください。詳細は、『Lightning Aura コンポーネント開発者ガイド』「Lightning Locker による eval() 関数の制限」を参照してください。

厳格な CSP を有効にすると、カスタム Lightning コンポーネントだけでなく、コミュニティのページの <head> で使用されるマークアップにも影響します。インラインスクリプトは許可されず、エクスペリエンスビルダーの [設定] | [詳細] でサポートされていないマークアップを入力すると警告が表示されます。