信頼済み URL の管理
ユーザーやネットワークとのやりとりを信頼する URL を指定します。コンテンツセキュリティポリシー (CSP) ディレクティブを使用して、Lightning コンポーネント、サードパーティ API、WebSocket 接続で各信頼済み URL から読み込むことができるリソースの種別を制御します。[セッションの設定] で Permissions-Policy HTTP ヘッダーを有効にしている場合は、Salesforce からブラウザー機能にアクセスできる URL も制御できます。
必要なエディション
| 使用可能なインターフェース: Salesforce Classic および Lightning Experience |
| 使用可能なエディション: Enterprise Edition、Performance Edition、Developer Edition、および Unlimited Edition |
| 必要なユーザー権限 | |
|---|---|
| 信頼済み URL を作成、参照、更新、削除する | 「アプリケーションのカスタマイズ」および「すべてのデータの編集」 |
[設定] で、信頼済み URL ごとに CSP ディレクティブと Permissions-Policy ディレクティブを指定できます。Salesforce からユーザーをリダイレクトできる外部 URL を指定するには、「外部 URL へのリダイレクトの管理」を参照してください。外部サイトで Visualforce ページまたはアンケートをインラインフレーム (iframe) で読み込むことができるようにするには、「インラインフレームの信頼済みドメインの指定」を参照してください。
信頼済み URL を更新するたびに、関連ページの CSP ヘッダーサイズを確認します。インフラストラクチャによっては、HTTP ヘッダーの最大サイズが制限されます。組織で提供されるコンテンツを複数のドメインでフレーム化できるようにする場合は、CSP ヘッダーのサイズを 12 KB 未満に抑えます。ヘッダーサイズが 16 KB に近づくと Salesforce のお客様から問題が報告され、サードパーティが処理中にヘッダーを追加することがよくあります。
信頼済み URL の追加または編集
[設定] で、信頼済み URL ごとにコンテンツセキュリティポリシー (CSP) ディレクティブと Permissions-Policy ディレクティブを指定できます。
-
[設定] の [クイック検索] ボックスに「信頼済み URL」と入力し、[信頼済み URL] を選択します。
![[信頼済み URL] の [設定] ページ](https://sf-zdocs-cdn-prod.zoominsoftware.com/tdta-xcloud-security-262-0-0-production-jajp/700a06dd-cad5-4a0e-b783-e76bf3454c05/security/images/session/trusted_urls.png)
- 新しい信頼済み URL を追加するには、[新規信頼済み URL] をクリックします。
- 既存の信頼済み URL を編集するには、[編集] をクリックします。
-
信頼済み URL を追加する場合、API 参照名を入力します。
アンダースコアと英数字のみを入力してください。名前が一意であること、最初は文字であること、空白は使用しない、最後にアンダースコアを使用しない、2 つ続けてアンダースコアを使用しないという制約があります。
既存の信頼済み URL の API 参照名を編集する場合は、コードを確認し、以前の API 参照名への参照を更新します。
-
URL を編集または入力します。
信頼済み URL にはドメイン名を含める必要があり、ポートを含めることもできます。例: https://example.com または https://example.com:8080。
反復作業を削減するため、ワイルドカード文字 * (アスタリスク) を使用できます。例: *.example.com。
サードパーティ API の場合は、URL を https:// で開始しなければなりません。例: https://example.com。
WebSocket 接続の場合は、URL を wss:// で開始しなければなりません。例: wss://example.com。
URL のホストセクションには、ワイルドカードとしてアスタリスク (
*) を含めることができます。それ以外の場合、URL の形式を不正にすることはできません。構文の確認に失敗する不正な形式の URL の例として、malformed^url.example.com、https://{subdomain}.example.com などがあります。メモ 2025 年 2 月より前は、不正な形式の URL を保存できました。不正な形式の URL は、生成された CSP HTTP ヘッダーから除外されます。[信頼済み URL] リストを正確に保つには、不正な形式のエントリを削除します。Apex クラスを使用すると、不正な形式の URL をすべて見つけることができます。Knowledge 記事「Identify Malformed Trusted URLs」を参照してください。 - 必要に応じて、信頼済み URL の説明を入力または編集します。
- 必要に応じて、この信頼済み URL を一時的に無効にするには、[有効] を選択解除します。
- 信頼済み URL の CSP ディレクティブまたは権限ポリシーディレクティブを少なくとも 1 つ指定して、変更を保存します。
信頼済み URL の CSP ディレクティブの指定
クロスサイトスクリプティング (XSS) や他のコードインジェクション攻撃を防止するために、Lightning コンポーネントフレームワークはコンテンツセキュリティポリシー (CSP) を使用してコンテンツに制約を適用します。デフォルトでは、フレームワークのヘッダーに読み込むことができるコンテンツは安全な (HTTPS) URL からのみで、JavaScript からの XHR 要求は禁止されています。外部 (Salesforce 以外の) サーバーに対する要求を実行するサードパーティ API や、WebSocket 接続を使用するには、信頼済み URL としてサーバーを追加します。
Apex での対応するアクセス権を有効にするには、リモートサイトを作成します。
-
[設定] の [クイック検索] ボックスに「信頼済み URL」と入力し、[信頼済み URL] を選択します。
[信頼済み URL] ページの [コンテンツセキュリティポリシー (CSP) 設定] セクションで CSP コンテキストとディレクティブを定義します。
![[信頼済み URL] ページの [CSP 設定] セクション。](https://sf-zdocs-cdn-prod.zoominsoftware.com/tdta-xcloud-security-262-0-0-production-jajp/700a06dd-cad5-4a0e-b783-e76bf3454c05/security/images/session/trusted_url_csp_settings.png)
-
この信頼済み URL からコンテンツを読み込むことができるページを制御するには、CSP コンテキストを選択します。
- サポートされているすべてのコンテキスト種別に CSP ディレクティブを適用するには、[すべて] を選択します。このコンテキストがデフォルトです。
- CSP ディレクティブを Experience Cloud サイトにのみ適用するには、[エクスペリエンスビルダーサイト] を選択します。
- CSP ディレクティブを Lightning Experience ページにのみ適用するには、[Lightning Experience ページ] を選択します。
- CSP ディレクティブをカスタム Visualforce ページにのみ適用するには、[Visualforce ページ] を選択します。
カスタム Visualforce ページでは、ページの
cspHeader属性がtrueに設定されている場合にのみコンテンツが CSP 信頼済みサイトに制限されます。
ヒント 3 つの CSP コンテキストのうち 2 つを使用して 1 つの URL の CSP ディレクティブを指定するには、API 参照名が異なる 2 つの信頼済み URL レコードを作成します。 -
この信頼済み URL の CSP ディレクティブを選択します。各 CSP ディレクティブは、リソース種別へのアクセスを制御します。Lightning コンポーネントは、Lightning 内、または CSP で保護された Aura または LWR サイト内でリソースを読み込むことができます。
メモ エクスペリエンスビルダーサイトコンテキストの CSP HTTP ヘッダーサイズは 512,000 文字を超えることはできません。Lightning Experience ページ コンテキストにも同じ制限が適用されます。
-
Lightning コンポーネント、サードパーティ API、WebSocket 接続でこの信頼済み URL からのスクリプトインターフェースを使用する URL を読み込むことができるようにするには、[connect-src (スクリプト)] を選択します。
信頼済み URL 内から Salesforce コンソールインテグレーションツールキットを使用するには、Visualforce サイトのエクスペリエンスビルダーの [セキュリティ] 設定にも信頼済み URL を追加します。そうしないと、サードパーティからは、信頼済み URL であっても JavaScript リソースを読み込むことはできません。
サードパーティの JavaScript ライブラリを使用するには、そのライブラリを静的リソースに追加し、静的リソースをコンポーネントに追加します。
- Lightning コンポーネント、サードパーティ API、WebSocket 接続でこの信頼済み URL からフォントを読み込むことができるようにするには、[font-src (フォント)] を選択します。
-
Lightning コンポーネント、サードパーティ API、WebSocket 接続でこの信頼済み URL から
<iframe>要素に含まれるリソースを読み込むことができるようにするには、[frame-src (iframe コンテンツ)] を選択します。 - Lightning コンポーネント、サードパーティ API、WebSocket 接続でこの信頼済み URL から画像を読み込むことができるようにするには、[img-src (画像)] を選択します。このオプションはデフォルトで有効になっています。
- Lightning コンポーネント、サードパーティ API、WebSocket 接続でこの信頼済み URL から音声と動画を読み込むことができるようにするには、[media-src (音声と動画)] を選択します。
- Lightning コンポーネント、サードパーティ API、WebSocket 接続でこの信頼済み URL からスタイルシートを読み込むことができるようにするには、[style-src (スタイルシート)] を選択します。
-
Lightning コンポーネント、サードパーティ API、WebSocket 接続でこの信頼済み URL からのスクリプトインターフェースを使用する URL を読み込むことができるようにするには、[connect-src (スクリプト)] を選択します。
ブラウザー機能への信頼済み URL アクセス権の付与
信頼済み URL の権限ポリシーディレクティブを選択します。各ディレクティブは、ブラウザー機能に信頼済み URL アクセス権を付与します。
この機能を使用するには、[セッションの設定] で Permissions-Policy ヘッダーを有効にします。[セッションの設定] で対応する機能のアクセス権が [信頼済み URL のみ] に設定されている場合にのみ、信頼済み URL レベルでブラウザー機能へのアクセス権を制御できます。
-
信頼済み URL を追加または編集します。
[信頼済み URL] ページの [権限ポリシーディレクティブ] セクションで、ブラウザー機能にアクセス権を付与します。
![[信頼済み URL] ページの [権限ポリシーディレクティブ] セクション。](https://sf-zdocs-cdn-prod.zoominsoftware.com/tdta-xcloud-security-262-0-0-production-jajp/700a06dd-cad5-4a0e-b783-e76bf3454c05/security/images/session/trusted_url_permissions_policy.png)
- この信頼済み URL 権限でユーザーのカメラへのアクセス権を付与するには、[カメラ] を選択します。
- この信頼済み URL 権限でユーザーのマイクロフォンへのアクセス権を付与するには、[マイクロフォン] を選択します。
