Experience Cloud 開発者ガイド
jセキュアサイトの開発: CSP、LWS、および Lightning Locker
CSP
CSP は、ページに読み込むコンテンツのソースを制御するための W3C 標準です。CSP ルールはページレベルで機能し、すべてのサードパーティコンポーネントとカスタムコードに適用されます。デフォルトでは、フレームワークのヘッダーに読み込むことができるコンテンツは安全な (HTTPS) URL からのみで、JavaScript からの XHR 要求は禁止されています。
エクスペリエンスビルダーでは、さまざまなレベルの CSP スクリプトセキュリティを使用できます。CSP レベルはサイトごとに固有です。
Lightning Locker と Lightning Web セキュリティ
Lightning Locker アーキテクチャレイヤーでは、個々の Lightning コンポーネントの名前空間が各自のコンテナで分離され、コーディングのベストプラクティスが適用されるため、セキュリティが向上します。Lightning Locker は、Lightning コンポーネントおよび Experience Cloud の Aura サイトのデフォルトのセキュリティアーキテクチャです。
LWS は、Lightning コンポーネントでセキュリティ保護のコーディング手法を簡単に使用できるように設計されており、Lightning Locker を置き換えることを目的としています。LWS の目的は、Lightning Locker と同様に、Lightning コンポーネントが他の名前空間のプラットフォームコードやコンポーネントに属するデータに干渉したり、アクセスしたりするのを防ぐことです。ただし、Lightning Web セキュリティのアーキテクチャは、異なる手法で Lightning Web コンポーネントを保護します。
組織およびサイトレベルでの LWS の適用方法
システム管理者は、LWS を組織レベルで有効化して、Lightning Locker の代わりに組織全体で使用することができます。LWS は、[設定] の [セッションの設定] の [Lightning Web コンポーネント用および Aura コンポーネント用 Lightning Web セキュリティの使用] 設定で有効化します。
この組織レベルの設定は Aura サイトに影響します。これは LWS が組織で有効になると、サイトレベルで LWS が Lightning Locker に置き換わるためです。次に、エクスペリエンスビルダーで Aura サイトの Lightning Locker 設定を無効にした場合、実際には LWS が無効になります。
LWR サイトには独自の LWS インスタンスがあるため、LWS の組織設定は LWR サイトには影響しません。LWR サイトで Lightning Locker を無効にすると、LWS が組織で有効になっていても、サイトの LWS インスタンスが無効になります。
次の表では、Aura または LWR サイトでの組織レベルの設定とサイトレベルの設定の影響をまとめています。
| Experience Cloud サイトのフレームワーク | サイトレベルの設定 | 組織レベルの設定 | LWS と Locker のどちらがサイトで使用されるか |
|---|---|---|---|
| Aura |  |
|
|
|
 |
|
|
|
|
Lightning Locker | |
|
|
LWS | |
| LWR | |
|
|
|
|
|
|
|
|
LWS (サイトのインスタンス) | |
|
|
LWS (サイトのインスタンス) |