Loading
Salesforce から送信されるメールは、承認済ドメインからのみとなります続きを読む

Lightning アプリケーションの CORS 許可リストの使用

公開日: May 19, 2026
説明

Salesforce は、お客様のデータのセキュリティと保護がお客様のビジネスにとって不可欠であることを理解しています。Salesforce では、お客様のデータを保護する目的で「Lightning アプリケーションの CORS 許可リストの適用」リリース更新を使用可能にし、組織のセキュリティを強化しています。この変更によって CORS 許可リストが適用され、承認された URL からの CORS リクエストを除き、Lightning アプリケーションへの CORS リクエストがブロックされます。この変更により、最終的に CORS リクエストのセキュリティが強化され、Web ブラウザから組織のリソースをリクエストできるようになると同時に、どのリクエストを許可するかをユーザが細かく制御できます。

この更新は Spring '22 で適用される予定で、Salesforce アセットのオリジンであるドメインがクロスオリジンリソース共有 (CORS) 許可リストに追加されていない場合には、そのドメインからの Salesforce アセットを参照する組織の機能に影響が及ぶおそれがあります。

以下に、この変更の詳細と、Spring '22 リリースでの影響を回避するために現時点で実施する準備について説明します。

解決策

変更の概要
Winter '22 リリースで、Salesforce は「Lightning アプリケーションの CORS 許可リストの適用」リリース更新を使用可能にしてお客様のセキュリティを強化しています。この更新によって CORS 許可リストが適用され、承認された URL からの CORS リクエストを除き、Lightning アプリケーションへの CORS リクエストがブロックされます。この変更により、CORS リクエストのセキュリティが強化され、Web ブラウザから組織のリソースをリクエストできるようになると同時に、どのリクエストを許可するかをユーザが細かく制御できます。

Salesforce ではお客様の組織のセキュリティを重視しており、その一環としてこの変更を適用しています。
「Lightning アプリケーションの CORS 許可リストの適用」リリース更新によって Lightning アプリケーションのアクセスモデルが変更され、明示的に許可されているソースとのみ情報が共有されるようになるため、Web ブラウザから組織にリクエストできるようになります。つまり、組織で信頼されていないドメインから提供されるリソースを信頼するという方法で潜在的な XSS を阻止します。

適用のタイムライン
この更新は、Spring '22 リリーススケジュールに従って適用されます。各自のインスタンスのメジャーリリースアップグレード日を確認する場合は、[Trust 状況] にアクセスし、インスタンスを検索して [メンテナンス] タブをクリックします。

影響の有無の判断
この変更は Lightning Experience の Lightning Out をはじめとする Lightning アプリケーションと、Salesforce アプリケーションの全バージョンに適用されます。

Spring '22 リリースでこの変更が適用された後、リクエスト先のドメインが CORS 許可リストに追加されていない場合は、影響を受けたお客様の画像やスクリプトが破損したり、その他の機能に変更が生じたりすることがあります。

お客様は次の手順に従って影響の有無を判断する必要があります。

  • 組織にログインします。Event Log File Browser アプリケーションに移動して、[Production Login] をクリックします。
  • [Date Range] を今日の日付に設定します。
  • 検索する [Event Type] に [CorsViolation] を選択します。
  • [Interval] に [Daily] を選択します。
    • [Interval Value] 項目が表示されていない場合は、このステップをスキップできます。
  • [Apply] をクリックします。
  • 結果が 0 件の場合は、組織にこのリリース更新の影響はありません。
  • 結果が 0 件以外の場合は、組織がこの更新の影響を受けています。更新の影響を受けているドメインを返すには、[CorsViolation] を選択して、[Apply] をクリックします。更新の影響を受けているドメインが返されます。
影響の軽減
リリース時の中断を避けるため、Spring '22 リリーススケジュールで更新が適用される前に、次の手順に従ってリリース更新をテストする必要があります。
[設定] の [クイック検索] ボックスに「リリース更新」と入力します。テストするリリース更新を見つけ、[詳細を表示] または [開始] をクリックします。次の手順を実行します。
  • 前述の識別手順に従って、このリリース更新の影響を受けるドメインを特定します。
    • 影響を受けるドメインを調べ、Salesforce アセットを積極的に使用する目的を評価します。
    • ドメインを信頼し、そのドメインでアセットを機能させることを許可する場合は、ドメインを CORS 許可リストに追加します。具体的な操作方法については、こちらの開発者ガイド に記載されている手順に従ってください。
    • ドメインを CORS 許可リストに追加したら、リリース更新を有効にした状態でもう一度ドメインをテストし、サイトが正常に動作することを確認します。
    • 影響を受けるすべてのドメインでこの手順を繰り返します。
サポートが必要な場合
変更についての詳細は、次のリソースを参照してください。
変更について不明な点がある場合は、次のチャネルを使用して Salesforce にお問い合わせください。
ナレッジ記事番号

000389495

 
読み込み中
Salesforce Help | Article