この文章は Salesforce 機械翻訳システムを使用して翻訳されました。詳細はこちらをご参照ください。
英語に切り替える

セキュアサイトの開発: CSP、LWS、および Lightning Locker

Experience Cloud の Aura および LWR サイトでは、コンテンツセキュリティポリシー (CSP) と Lightning Web セキュリティ (LWS) または Lightning Locker のいずれかを使用して、悪意のある攻撃やカスタムコードの脆弱性からサイトを保護します。独自のカスタムコンポーネントを開発したり、サードパーティコンポーネントを使用したり、カスタムコードを head マークアップに追加したりする場合、これらのセキュリティ機能の潜在的な影響を考慮します。

CSP

CSP は、ページに読み込むコンテンツのソースを制御するための W3C 標準です。CSP ルールはページレベルで機能し、すべてのサードパーティコンポーネントとカスタムコードに適用されます。デフォルトでは、フレームワークのヘッダーに読み込むことができるコンテンツは安全な (HTTPS) URL からのみで、JavaScript からの XHR 要求は禁止されています。

エクスペリエンスビルダーでは、さまざまなレベルの CSP スクリプトセキュリティを使用できます。CSP レベルはサイトごとに固有です。

Lightning Locker と Lightning Web セキュリティ

Lightning Locker アーキテクチャレイヤーでは、個々の Lightning コンポーネントの名前空間が各自のコンテナで分離され、コーディングのベストプラクティスが適用されるため、セキュリティが向上します。Lightning Locker は、Lightning コンポーネントおよび Experience Cloud の Aura サイトのデフォルトのセキュリティアーキテクチャです。

LWS は、Lightning コンポーネントでセキュリティ保護のコーディング手法を簡単に使用できるように設計されており、Lightning Locker を置き換えることを目的としています。LWS の目的は、Lightning Locker と同様に、Lightning コンポーネントが他の名前空間のプラットフォームコードやコンポーネントに属するデータに干渉したり、アクセスしたりするのを防ぐことです。ただし、Lightning Web セキュリティのアーキテクチャは、異なる手法で Lightning Web コンポーネントを保護します。

組織およびサイトレベルでの LWS の適用方法

システム管理者は、LWS を組織レベルで有効化して、Lightning Locker の代わりに組織全体で使用することができます。LWS は、[設定] の [セッションの設定] の [Lightning Web コンポーネント用および Aura コンポーネント用 Lightning Web セキュリティの使用] 設定で有効化します。

この組織レベルの設定は Aura サイトに影響します。これは LWS が組織で有効になると、サイトレベルで LWS が Lightning Locker に置き換わるためです。次に、エクスペリエンスビルダーで Aura サイトの Lightning Locker 設定を無効にした場合、実際には LWS が無効になります。

LWR サイトには独自の LWS インスタンスがあるため、LWS の組織設定は LWR サイトには影響しません。LWR サイトで Lightning Locker を無効にすると、LWS が組織で有効になっていても、サイトの LWS インスタンスが無効になります。

デフォルトでは、すべての新しいエクスペリエンスビルダーサイトで厳格な CSP が有効になります。これは Lightning Locker または LWS も有効であることを意味します。エクスペリエンスビルダーで Lightning Locker 設定にアクセスするには、[緩和された CSP] を選択します。

Commerce Cloud の B2B ストアと B2C ストアの LWR テンプレートでは、LWS はデフォルトで有効化されません。

メモ

次の表では、Aura または LWR サイトでの組織レベルの設定とサイトレベルの設定の影響をまとめています。

Experience Cloud サイトのフレームワーク サイトレベルの設定 組織レベルの設定 LWS と Locker のどちらがサイトで使用されるか
Aura なし なし なし
なし あり なし
あり なし Lightning Locker
あり あり LWS
LWR なし なし なし
なし あり なし
あり なし LWS (サイトのインスタンス)
あり あり LWS (サイトのインスタンス)