コンテンツセキュリティポリシー(CSP)の設定

コンテンツセキュリティポリシーとは?

コンテンツセキュリティポリシー (CSP) は、クロスサイトスクリプティング (XSS) やその他のコードインジェクション攻撃からストアフロントを保護するのに役立つ HTTP 応答ヘッダーです。CSP を使用すると、ブラウザーがページに読み込むことができるスクリプト、スタイル、画像、およびその他のリソースを制御します。

ストアフロントに CSP ヘッダーを構成すると、ブラウザーは指定したルールに一致しないコンテンツをブロックすることで、これらのポリシーを適用します。

CSP に対する顧客の責任

CSP の構成は、B2C Commerce の顧客としての責任で行ってください。Salesforce がお客様に代わって CSP を管理または構成することはありません。どのスクリプト、スタイル、その他のリソースをストアフロントに読み込むことができるかを制御します。CSP 構成で、Salesforce 提供のスクリプトやサードパーティの統合など、必要なすべてのスクリプトの実行が許可されていることを確認する必要があります。CSP の制限が厳しすぎると、ストアフロントが正常に機能するために必要なスクリプトがブロックされる可能性があります。

CSP の考慮が必要なスクリプト

CSP を構成するときは、ポリシーで次の種類のスクリプトが許可されていることを確認します。

• Salesforce Analytics スクリプト— 追跡および分析機能を提供するdwanalyticsなどのスクリプト。
• インラインスクリプト— ストアフロント機能に必要な、HTML ページに直接埋め込まれたスクリプト。
• Einstein スクリプト— Einstein Recommendations、予測型並べ替え、およびその他のパーソナライゼーション機能を強化するスクリプト。

CSP の問題のトラブルシューティング

ストアフロント機能が期待どおりに動作しない場合は、CSP の制限によって必要なスクリプトがブロックされている可能性があります。CSP の問題を診断するには、ブラウザーの開発者ツールを開き、[コンソール] タブで CSP 違反エラーを確認します。次に、エラーメッセージを確認して、ブロックされているスクリプトまたはリソースを特定します。最後に、CSP 構成を更新して、ブロックされたリソースを許可します。

開発チームと協力して CSP 設定を確認および調整し、適切なセキュリティ保護を維持しながら、必要なすべてのスクリプトを許可します。