Loading
Salesforce から送信されるメールは、承認済ドメインからのみとなります続きを読む

HTML メールテンプレートエラー: 「安全とはみなされない有効なコンテンツがテンプレートに含まれています。」

公開日: May 5, 2026
説明
Salesforce は、HTMLメールテンプレートのクロスサイトスクリプティング (XSS) 脆弱性から組織を保護するための「ブラックリスト」フィルタ機能を導入しました。その名称が示すように、この機能により、 XSS ベクタ (JavaScriptイベントハンドラなど) として知られているタグと属性が含まれている場合、HTML テンプレートが保存されることを防ぎます。また、この機能は、エンドユーザおよび、ワークフロールール、変更セットなどの自動プロセスによるメールテンプレートの使用も防止します。この機能はテキストまたはカスタムテンプレートには影響を及ぼしません。

既知の XSS ベクタのいくつかの例を以下に示します。
 
<DIV onmouseout="MyJavaScript.MenuInjectionHandler.hideMenu(event)"
     onmouseover="MyJavaScript.MenuInjectionHandler.showMenu(this, event)"> </DIV>

<INPUT TYPE="IMAGE" SRC="javascript:alert('Code');">

<TABLE BACKGROUND="javascript:alert('Code')">

src="data:image/png;base64  -  (注意: テンプレートに画像を追加する場合は、[ドキュメント] タブで公開されている画像にリンクしてください。詳細は、「HTML メールテンプレートへ画像をアップロードする方法」を参照してください。)


HTML エディタでこのような XSS ベクタが検出されると、テンプレートが保存されなくなり、「安全とはみなされない有効なコンテンツがテンプレートに含まれています。」というエラーメッセージが表示されます。

このエラーは、変更セットを使用して XSS ベクタを含む HTML テンプレートを移行するときや、自動プロセスがこれらのテンプレートを使用または更新しようとしたときにも発生します。

関連情報
Salesforce Classic でのカスタム HTML メールテンプレートの作成
Lightning Experience でのメールテンプレートの作成
解決策
エラーメッセージを取り除き、HTML テンプレートを保存するには、システム管理者がテンプレートを編集し、悪用される可能性のある XSS ベクタを削除する必要があります。

Workbench ユーティリティに慣れているシステム管理者は、このツールを使用してテンプレートのソースコードを抽出し、XSS ベクタを削除し、組織にインポートすることができます。

Workbench の例 (API対応組織のみ):

ユーザーは、SELECT HtmlValue、ID From FROM EmailTemplate WHERE Id = '00XQ0000000XXXX' のような SOQL クエリを実行することにより、テンプレートを検証することができます。ユーザは開発者コンソールなどのツールを使用してテーブルエントリを更新して、問題のあるタグを削除することができます。

XSS ベクタを削除する別の効果的な方法は、問題の HTML テンプレートの内容をコピーして、新しいテンプレートに貼り付けることです。コピー&ペースト操作では、テンプレート (画像、フォント、色など) の書式設定が引き継がれますが、XSS コードは削除されます。また、テキストエディタ (メモ帳など) に内容をコピー&ペーストし、HTML テンプレートを保存することもできます。

場合によっては、組織の拡張機能 (あるいはブラウザ) によって外部コードが追加されていることもあります。設定の簡単な監査を行うことをお勧めします。

いずれにしても、新しいテンプレートで一部の機能が失われる可能性がありますので、徹底的なテストをすることを強くお勧めします。
ナレッジ記事番号

000387065

 
読み込み中
Salesforce Help | Article