CloudPages のセキュリティに関するベストプラクティス

すべての処理と検証をサーバー側で実行します。クライアント側の JavaScript または Ajax を使用して検証を実行しないでください。

ランディングページでデータを提示したり、その他の処理を実行したりする前に、少なくとも 2 つのクエリ文字列パラメーターを使用してサブスクライバーの ID を確認します。

CloudPages ワークフロープロセスを公開する前に慎重に確認してください。

認証されていない、アプリケーションではないパブリックランディングページをグローバル If-Then 句で囲みます。句の中に、空の必須パラメーターがないかを確認します。この句は、フロントエンドページとランディングページの処理に使用されます。この手順により、誰かが直接ランディングページにアクセスした場合でも、そのページが処理されなくなります。加えて、ユーザーによるパラメーター操作を防止します。

公開 CloudPages にリンクする場合は、AMPscript CloudPagesUrl() 関数を使用します。この関数は暗号化を使用してクエリ文字列内のデータを保護します。SubscriberId や SubscriberKey などの機密情報を渡す際に、Base64 や AMPscript StringToHex() 関数などの単純なエンコードを使用しないでください。Base64 および 16 進文字列は簡単にデコードできます。

定期的なセキュリティレビューと監査を実行して、CloudPages が意図された目的で使用されていることを確認します。