信頼済み URL およびブラウザーポリシー違反の管理

信頼済み URL およびブラウザーポリシー違反リストの操作

ブロックされたリダイレクトと CSP 違反を管理するには、[設定] の [信頼済み URL とブラウザーポリシー違反リスト] を使用します。

メモ パフォーマンスを維持するために、組織が短期間に大量の CSP 違反またはブロックされたリダイレクトを生成した場合、それらのイベントの一部が [信頼済み URL とブラウザーポリシー違反の管理] リストで取得できない可能性があります。

1. [設定] で、[信頼済み URL とブラウザーポリシー違反] を見つけて選択します。

   [信頼済み URL およびブラウザーポリシー違反] リストには、過去 7 日間に発生した一意の違反ごとにエントリが含まれます。たとえば、Salesforce が https://www.example.com へのリダイレクトをブロックし、その後 Salesforce が https://www.example.com を iframe に読み込む試みをブロックして記録した場合、それらのイベントはそれぞれリストに 1 つのエントリを取得します。ただし、ユーザーを https://www.example.com にリダイレクトする試行は 1 回のみ違反として記録されます。

   

   リストには次の列が含まれます。

   信頼できない URL

   要求に関連付けられた URL。ブロックされたリダイレクトの場合、この項目にはパスが含まれます。たとえば、https://downloads.example.com/42AX58Q91.pdf です。CSP 違反の場合、パスは含まれません。たとえば、要求されたリソース (URL https://www.example.com/images/image1.png の画像) がブロックされる場合、[CSP 違反] リストの URL は https://www.example.com になります。

   違反種別

   列名: 違反種別。違反種別。可能な値は次のとおりです。

   • ブロックされたリダイレクト — ブロックされた URL が [信頼されたリダイレクトの URL] 許可リストにないため、この URL へのリダイレクトが少なくとも 1 つブロックされました。
   • img-src (image) — 信頼できない URL が img-src CSP ディレクティブの [信頼済み URL] 許可リストにないため、URL から画像ファイルを読み込む要求が少なくとも 1 つブロックされました。
   • font-src (fonts) — 信頼できない URL が font-src CSP ディレクティブの [信頼済み URL] 許可リストにないため、URL からフォントを読み込む要求が少なくとも 1 つブロックされました。
   • frame-src (iframe content) — 信頼できない URL が frame-src CSP ディレクティブの [信頼済み URL] 許可リストにないため、URL から作成された iframe にコンテンツを読み込む要求が少なくとも 1 つブロックされました。
   • 不正な形式の URL — 対象 URL が構文チェックに失敗したため、この URL へのリダイレクトが少なくとも 1 つブロックされました。構文チェックに失敗する不正な形式の URL の例としては、https://malformed^url.example.com や https://mydomain.lightning.force.com/$test61'3 などがあります。

   CSP コンテキスト

   要求の CSP コンテキスト。コンテキストにより、この信頼済み URL からコンテンツを読み込むことができるページが制御されます。

   リストの CSP 違反は常に Lightning Experience ページに関連します。これらの違反の CSP コンテキストは Lightning です。ブロックされたリダイレクトの場合、CSP コンテキストは常に [Not Applicable] になります。

   インパクト

   Salesforce では、より厳格な CSP 設定を採用する場合に潜在的な違反を特定するために、Content-Security-Policy-Report-Only ヘッダーを有効にすることがあります。これらの条件付き違反は、より厳格なポリシーが有効になるまでレポートのみとして記録されます。

   影響項目を使用して、適用された違反と報告された違反を区別します。

   • ブロック済み — ポリシーが適用され、リソースが読み込まれませんでした。ブロックされたリダイレクトと不正な形式の URL の影響は常にブロックされます。
   • 報告済み — リソース要求は、より厳格な CSP 設定が設定されている場合にのみブロックされます。たとえば、frame-src (iframe content)、font-src (fonts)、img-src (image) 違反種別に関連付けられた一部のリソース要求は、[セッションの設定] で [更新された CSP ディレクティブを採用] 設定が有効になっていない限りブロックされません。

   Spring '26 以降に作成された組織では、[影響] 項目はデフォルトでリストビューに表示されます。Spring '26 より前に作成された組織では、項目をリストビューに追加します。

   最終違反日

   この信頼できない URL、違反種別、および CSP コンテキストの違反が最後に記録された日付。

   この項目は毎日更新されます。

2. [Trusted URLs and Browser Policy Violations (信頼済み URL とブラウザーポリシー違反)] リストから項目を削除するには、[] をクリックし、[削除] を選択します。

   [信頼済み URL およびブラウザーポリシー違反] リストから項目を削除しても、信頼済み URL 許可リストに変更は加えられません。記録されたイベントのみが削除されます。許可リストで引き続きこれらの要求またはリダイレクトがブロックされている場合、次回一致する要求が発生したときに新しいエントリが違反リストに表示されます。

   

   メモ リストを管理しやすくするために、日次プロセスでは過去 7 日間に発生していない違反が削除されます。経時的に違反を追跡するには、[ブロックされたリダイレクト] および [CSP 違反] イベント種別の日次クエリをスケジュールしてください。
3. すべての URL のログに記録された違反をクリアするには、[Clear Violations Log (違反ログをクリア)] をクリックし、決定を確認します。

CSP 違反の管理

コンテンツセキュリティポリシー (CSP) ディレクティブは、Lightning コンポーネント、サードパーティ API、WebSocket 接続で各信頼済み URL から読み込むことができるリソースの種別を制御します。CSP 違反は、信頼済み URL の CSP ディレクティブに基づいて Lightning Experience ページからのリソース要求がブロックされた場合に発生します。

1. コンテンツセキュリティポリシー (CSP) 違反のみを表示するには、違反種別でリストを絞り込みます。
   

   ヒント すばやくアクセスするには、この検索条件を使用してカスタムリストビューを作成します。
   1. [設定] で、[信頼済み URL とブラウザーポリシー違反] を見つけて選択します。
   2. リストを絞り込みます。
   3. [項目] で、[違反種別] を選択します。
   4. [演算子] で [次の文字列と一致する] を選択します。
   5. [値] フィールドで、img-src (画像)、frame-src (iframe content)、および font-src (フォント) を選択します。
   6. [完了] をクリックし、フィルタを保存します。
2. コンテンツセキュリティポリシーに基づいて Lightning Experience ページからすべてのブロックされたリソース要求に関する情報を取得するには、CSP 違反イベント種別オブジェクトを使用します。

   CSP 違反イベント種別は、CSP 設定に基づいて、ブロックされたリソースとブロックされる可能性のあるリソースをすべて取得します。このイベント種別では、[信頼済み URL およびブラウザーポリシー違反] リストに表示されない CSP ディレクティブの違反も取得されます。たとえば、media-src (音声およびビデオ) および style-src (スタイルシート) ディレクティブの違反です。

   『Salesforce プラットフォームのオブジェクトリファレンス』の「CSP 違反イベント種別」を参照してください。

   

   ヒント CSP 違反イベントは、データ保持期間が 24 時間のすべてのお客様が追加費用なしで利用できます。このイベントは API で使用できますが、Event Monitoring Analytics アプリケーションでは使用できません。複数日の CSP 違反の詳細を収集するには、REST API を使用して [CSP 違反] イベント種別の日次クエリをスケジュールします。
3. URL の CSP ディレクティブを許可するには、信頼できない URL を [信頼済み URL] 許可リストに追加します。
   1. [信頼済み URL およびブラウザーポリシー違反] リストで、信頼できない URL、違反種別、CSP コンテキストをメモします。
      違反種別は CSP ディレクティブです。
   2. [設定] の [クイック検索] ボックスに「信頼済み URL」と入力し、[信頼済み URL] を選択します。
   3. [信頼済み URL] 設定ページで、URL とコンテキストの既存のエントリを確認します。
   4. 既存の信頼済み URL を編集するか、新しい信頼済み URL を追加して、許可する CSP ディレクティブを選択します。
      「信頼済み URL の管理」を参照してください。
   5. 変更を確認するには、フォント、画像、またはフレーム化されたコンテンツを読み込む Lightning ページをテストします。または、以前にブロックされたリソースを新しく信頼された URL から読み込むテスト Lightning ページを設定します。
4. Salesforce が作成したコードで提供される最新の CSP ディレクティブを使用するには、セッション設定を有効にします。

   frame-src (iframe content)、font-src (fonts)、または img-src (image) 種別の信頼済み URL 違反に関連付けられた一部のリソース要求は、セッション設定が有効になっていない限りブロックされません。

   Summer '24 以降で作成された組織では、この設定はデフォルトで有効になっています。

   1. この変更でブロックされたリソース要求を確認するには、[報告済み] の影響がある違反を探します。

      CSP 違反イベント タイプのクエリを複数日にわたって収集するようにスケジュールした場合、この変更の影響を受けるリソース要求のイベント ログにはreportの破棄が含まれます。『Salesforce プラットフォームのオブジェクトリファレンス』の「CSP 違反イベント種別」を参照してください。

   2. これらの違反に関連付けられたリソース要求をブロックするには、[設定] で [セッション設定] を見つけて選択します。[Adopt updated CSP directives (更新された CSP ディレクティブを採用)] を選択し、変更を保存します。

ブロックされたリダイレクトの管理

違反リストでは、Salesforce から信頼できない URL や不正な形式の URL へのブロックされたリダイレクトを取得します。ただし、すべてのブロックされたリダイレクトが記録されるわけではありません。ブロックおよび記録されるリダイレクトについては、「Salesforce の外部リダイレクトの制限」を参照してください。

ヒント すばやくアクセスできるように、推奨検索条件のカスタムリストビューを作成します。

1. 有効な URL へのブロックされたリダイレクトのみを表示するには、リストビューを絞り込みます。
   1. [設定] で、[信頼済み URL とブラウザーポリシー違反] を見つけて選択します。
   2. リストを絞り込みます。
   3. [項目] で、[違反種別] を選択します。
   4. [演算子] で [次の文字列と一致する] を選択します。
   5. [値] で、[ブロック済みリダイレクト] を選択します。
2. 不正な形式の URL へのブロックされたリダイレクトのみを表示するには、リストビューを絞り込みます。
   構文チェックに失敗する不正な形式の URL の例としては、https://malformed^url.example.com や https://mydomain.lightning.force.com/$test61'3 などがあります。
   1. リストを絞り込みます。
   2. [項目] で、[違反種別] を選択します。
   3. [演算子] で [次の文字列と一致する] を選択します。
   4. [値] で、[不正な URL] を選択します。
3. リダイレクトの発生元など、ブロックされたリダイレクトに関する詳細情報を取得するには、ブロックされたリダイレクトイベント種別オブジェクトを使用します。
   1. ブロックされたリダイレクトの発生元を特定するには、ORIGIN 項目を使用します。

      たとえば、Experience Cloud Visualforce サイト ページのフォームが saveURL パラメータを使用してユーザーを信頼できない URL にリダイレクトする場合、ORIGIN にはそのサイトのベース URL が含まれます。

   『Salesforce プラットフォームのオブジェクトリファレンス』の「Blocked Redirect Event Type ([ブロックされたリダイレクト] イベント種別)」を参照してください。

   

   ヒント ブロックされたリダイレクトイベントは、データ保持期間が 24 時間のすべてのユーザーが追加費用なしで使用できます。このイベントは API で使用できますが、Event Monitoring Analytics アプリケーションでは使用できません。複数日のブロックされたリダイレクトの詳細を収集するには、REST API を使用して [ブロックされたリダイレクト] イベント種別の日次クエリをスケジュールします。
4. 他の Salesforce 組織へのブロックされたリダイレクトを検索するには、次の最上位ドメインの [次の文字列を含む] 演算子とカンマ区切りリストを使用して [信頼できない URL] 項目に検索条件を適用します。

   別の Salesforce 組織へのリダイレクトがブロックされた例としては、本番 URL へのリダイレクトを含む Sandbox のリンクをユーザーがクリックした場合などがあります。

   1. リストを絞り込みます。
   2. [項目] で、[信頼されない URL] を選択します。
   3. 演算子で、[次の文字列を含む] を選択します。
   4. [値] に、「.force.com」、「.forceusercontent.com」、「.force-user-content.com」、「.salesforce.com」、「.salesforceliveagent.com」、「.salesforce-experience.com」、「.salesforce-hub.com」、「.salesforce-scrt.com」、「.salesforce-setup.com」、「.salesforce-sites.com」、「.sfdcopens.com」、「.site.com」、「.trailhead.com」と入力します。
   これらの各ドメインが使用されている場所については、「必要なドメインを許可」を参照してください。
5. 従来の Salesforce ホスト名へのリダイレクトを検索するには、次の最上位ドメインの [次の文字列を含む] 演算子とカンマ区切りリストを使用して [信頼できない URL] 項目に検索条件を適用します。

   従来のホスト名は、拡張ドメインのない組織で使用されていました。組織が 2022 年 7 月以降に作成されている場合、デフォルトで拡張ドメインが設定されています。詳細は、「非拡張ドメインのリダイレクトの終了への準備」を参照してください。

   1. リストを絞り込みます。
   2. [項目] で、[信頼されない URL] を選択します。
   3. 演算子で、[次の文字列を含む] を選択します。
   4. [値] に「documentforce.com」、「.Lightning.com」、「.salesforce-communities.com」、「.sfdc.sh.visualforce.com」と入力します。
   これらの各ドメインが使用されている場所については、「必要なドメインを許可」を参照してください。
6. ブロックされたリダイレクトを許可するには、信頼できない URL を [信頼されたリダイレクトの URL] 許可リストに追加します。
   1. ブロックされたリダイレクトを許可する前に、URL を確認して検証します。

      [ブロックされたリダイレクト] 違反種別には、不正な形式の URL へのリダイレクト試行が含まれます。不正な形式の URL の例としては、パスに無効な文字が含まれる https://mydomain.lightning.force.com/&/'"teste-efx-15 や、リダイレクトの一部として cookie を設定する有効な方法ではない Set-Cookie:cookie1=cookie1 などがあります。

   2. [信頼済み URL とブラウザーポリシー違反] リストで、信頼されていない URL をメモします。
   3. [設定] の [クイック検索] ボックスに「信頼されたリダイレクトの URL」と入力し、[信頼されたリダイレクトの URL] を選択します。
   4. [新規 URL] をクリックします。
   5. URL を入力し、変更を保存します。
   6. 変更をテストします。「外部リダイレクトのテスト」を参照してください。