概要
コンテンツセキュリティポリシー(CSP)は、クロスサイトスクリプティング(XSS)やデータインジェクション攻撃など、特定の種類の攻撃を検出し、軽減するための重要なセキュリティ機能です。
Promolayerを正しく動作させるために許可が必要なドメインを説明します。
必要なドメイン
オプション1:ワイルドカードドメイン(推奨)
*.peakdigital.cloud
*.promolayer.io
*.b-cdn.net
オプション2:個別ドメイン
geoip.peakdigital.cloud
a.promolayer.io
displayscdn.promolayer.io
modules.promolayer.io
promolayer-images.b-cdn.net
scripts.promolayer.io
api.promolayer.io
設定手順
CSPの場所を特定する
CSPは通常、HTMLドキュメントのタグ内、またはWebホスティングプロバイダーによって管理されるHTTPヘッダーを通じて定義されます。CSPを更新する
CSPをタグで使用している場合は、content属性を以下のように変更し、ドメインの追加オプションに基づいて適切なオプションを選択します。
<!-- オプション1: ワイルドカードドメイン -->
<meta http-equiv="Content-Security-Policy" content="default-src 'self' *.peakdigital.cloud *.promolayer.io *.b-cdn.net;">
<!-- オプション2: 特定のドメイン -->
<meta http-equiv="Content-Security-Policy" content="default-src 'self'; script-src 'self' scripts.promolayer.io; connect-src 'self' api.promolayer.io; img-src 'self' promolayer-images.b-cdn.net; frame-src 'self' modules.promolayer.io; style-src 'self' displayscdn.promolayer.io; child-src 'self' a.promolayer.io;">CSPを検証する
アプリケーションをテストして、Promolayerのすべての機能が期待どおりに機能することを確認します。Google ChromeやMozilla Firefoxなどのブラウザのコンソールを使用してCSP違反を監視し、これらの問題をログします。
