[この記事はプレリリース ドキュメントであり、変更されることがあります。]
セキュリティ ワークスペースを使用すると、Power Pages デザイン スタジオから直接、サイトのコンテンツとデータをセキュリティ上の脅威からさらに保護できます。 詳細設定を使用して、サイトの HTTP ヘッダーを迅速かつ効率的に構成し、コンテンツ セキュリティ ポリシー (CSP)、クロス オリジン リソース共有 (CORS)、Cookie、アクセス許可などを構成します。
Important
- これはプレビュー機能です。
- プレビュー機能は運用環境での使用を想定しておらず、機能が制限されている可能性があります。 これらの機能は追加使用条件の対象であり、公式リリース前にアクセス可能です。これにより、お客様は早期に利用し、フィードバックを提供することができます。
- Power Pagesにサインインし、サイトを開いて編集します。
- 左側のナビゲーションから セキュリティ ワークスペース を選択し、詳細設定 (プレビュー)を選択します。
コンテンツ セキュリティ ポリシー (CSP) を構成する
コンテンツ セキュリティ ポリシー (CSP) は、Web サーバーが Web ページに一連のセキュリティ ルールを適用するために使用されます。 クロスサイト スクリプティング (XSS)、データインジェクション、その他のコードインジェクション攻撃など、さまざまな種類のセキュリティ攻撃からサイトを保護するのに役立ちます。
指示事項
次のディレクティブがサポートされています。
| ディレクティブ | 説明 |
|---|---|
| 既定のソース | 他のディレクティブによって明示的に定義されていないコンテンツの既定のソースを指定します。 これは他のディレクティブのフォールバックとして機能します。 |
| 画像ソース | イメージの有効なソースを指定し、イメージを読み込むことができるドメインを制御します。 |
| フォント ソース | フォントの有効なソースを指定します。 Web フォントを読み込むことができるドメインを制御するために使用されます。 |
| スクリプト ソース | JavaScript コードの有効なソースを指定します。 スクリプト ソースには、同じ配信元の特定のドメインと 'self' を含めることができます。 nonce を有効にするか、安全でない eval を挿入するかを選択します。 |
| スタイルのソースファイル | スタイルシートの有効なソースを指定します。 script-src と同様に、ドメインと 'self' を含めることができます。 |
| ソースを接続する | XMLHttpRequest、WebSocket、または EventSource の有効なソースを指定します。 ページがネットワーク要求を送信できるドメインを制御します。 |
| メディアソース | 音声と動画の有効なソースを指定します。 メディア リソースを読み込むことができるドメインを制御するために使用されます。 |
| フレーム元 | フレームの有効なソースを指定します。 ページにフレームを埋め込むことができるドメインを制御します。 |
| フレーム祖先設定 | 現在のページをフレームとして埋め込むことができる有効なソースを指定します。 どのドメインにページを埋め込むことを許可するかを制御します。 |
| フォーム アクション | フォーム送信の有効なソースを指定します。 フォーム データを送信できるドメインを定義します。 |
| オブジェクト ソース | Flash ファイルやその他の埋め込みオブジェクトなど、オブジェクト要素のリソースの有効なソースを指定します。 これらのオブジェクトをどのオリジンから読み込むことができるかを制御するのに役立ちます。 |
| ワーカー ソース | 専用ワーカー、共有ワーカー、サービス ワーカーなどの Web ワーカーの有効なソースを指定します。 これらのワーカー スクリプトをどのオリジンから読み込んで実行できるかを制御するのに役立ちます。 |
| マニフェスト ソース | 専用ワーカー、共有ワーカー、サービス ワーカーなどの Web ワーカーの有効なソースを指定します。 これらのワーカー スクリプトをどのオリジンから読み込んで実行できるかを制御するのに役立ちます。 |
| 子リソース | 専用ワーカー、共有ワーカー、サービス ワーカーなどの Web ワーカーの有効なソースを指定します。 これらのワーカー スクリプトをどのオリジンから読み込んで実行できるかを制御するのに役立ちます。 |
各ディレクティブに対して、特定の URL かすべてのドメインを選択するか、またはいずれも選択できません。
高度な構成については、 サイトのコンテンツ セキュリティ ポリシーの管理に関するページを参照してください。
クロス オリジン リソース共有 (CORS) の構成
クロスオリジン リソース共有 (CORS) は、あるドメインで実行される Web アプリケーションに対して別のドメインのリソースの要求やアクセスを許可または制限するために、Web ブラウザーによって使用されます。
指示事項
次のディレクティブがサポートされています。
| ディレクティブ | 説明 | 値(複数の場合) |
|---|---|---|
| サーバーからのリソースへのアクセスを許可する | Access-Control-Allow-Origin とも呼ばれ、サーバーがリソースへのアクセスを許可するオリジンを決定するのに役立ちます。 オリジンには、ドメイン、プロトコル、ポートなどがあります。 | ドメイン URL を選択 |
| サーバー要求中にヘッダーを送信する | Access-Control-Allow-Headers とも呼ばれ、サーバーのリソースにアクセスするために別のオリジンからの要求で送信できるヘッダーの定義に役立ちます。 | 特定のヘッダーで、以下の権限を持つものを選択: オリジン 承認 認証 コンテンツタイプ |
| クライアント側のコードでヘッダー値を公開する | Access-Control-Expose-Headers とも呼ばれるこのディレクティブは、クロスオリジン要求でどの応答ヘッダーを公開し、要求元のクライアント側コードにアクセスできるようにするかをブラウザーに指示します。 | 特定のヘッダーで、以下の権限を持つものを選択: オリジン 承認 認証 コンテンツタイプ |
| リソースにアクセスするメソッドを定義する | Access-Control-Allow-Methods とも呼ばれ、異なるオリジンからサーバーのリソースにアクセスする場合に、許可されるべき HTTP メソッドの定義に役立ちます。 | GET - 指定されたリソースからデータを要求します POST - 処理するデータを指定されたリソースに送信します PUT - 特定の URL のリソースを更新または置き換えます HEAD - GET と同じですが、実際のコンテンツではなくヘッダーのみを取得します PATCH - リソースを部分的に変更します OPTIONS - リソースまたはサーバーで使用できる通信オプションに関する情報を要求します DELETE - 指定されたリソースを削除します |
| 要求の結果をキャッシュする期間を指定する | Access-Control-Max-Age とも呼ばれ、プリフライト要求の結果をキャッシュできる期間をブラウザーが定義する際に役立ちます。 | 期間を時間で指定する (秒単位) |
| 資格情報の共有をサイトに許可する | Access-Control-Allow-Credentials とも呼ばれ、クロスオリジン要求で Cookie、認証ヘッダー、クライアント側 SSL 証明書などの資格情報を、サイトが共有できるかどうかを定義する場合に役立ちます。 | はい/いいえ |
| 同じ発信元の iFrame として Web ページを表示する | X-Frame-Options とも呼ばれ、同じオリジンから要求が送信された場合にのみ、そのページを iframe に表示できるよう許可します。 | はい/いいえ |
| MIME スニッフィングをブロックする | X-Content-Type-Options: no-sniff とも呼ばれ、Web ブラウザーによる MIME タイプ (コンテンツ タイプ) スニッフィングの実行や、リソースのコンテンツ タイプの推測を制限する際に役立ちます。 | はい/いいえ |
クッキーの設定 (CSP)
HTTP 要求の Cookie ヘッダーには、以前 Web サイトがブラウザーに保存した Cookie に関する情報が含まれています。 Web サイトにアクセスすると、ブラウザーはそのサイトに関連付けられたすべての関連 Cookie を含む Cookie ヘッダーをサーバーに送り返します。
指示事項
次のディレクティブがサポートされています。
| ディレクティブ | 説明 | ヘッダー |
|---|---|---|
| すべての Cookie の転送ルール | クロスオリジン要求で Cookie を送信する方法を制御します。 これは、特定の種類のクロスサイト リクエスト フォージェリ (CSRF) および情報漏洩攻撃を軽減することを目的としたセキュリティ機能です。 | この設定は、ヘッダー SameSite/Default に対応します。 |
| 特定の Cookie の転送ルール | クロスオリジン要求で Cookie を送信する方法を制御します。 これは、特定の種類のクロスサイト リクエスト フォージェリ (CSRF) および情報漏洩攻撃を軽減することを目的としたセキュリティ機能です。 | この設定は、ヘッダー ameSite/Specific Cookie に対応します。 |
パーミッションポリシーの構成 (CSP)
Permissions-Policy ヘッダーを使用すると、Web 開発者は Web ページでどの Web プラットフォーム機能を許可または拒否するかを制御できます。
指示事項
次のディレクティブがサポートされており、それぞれの API へのアクセスを制御します。
- 加速度計
- 環境光センサー
- 自動再生
- バッテリー
- Camera
- ディスプレイ
- ドキュメント・ドメイン
- 暗号化メディア
- レンダリングされていない時に実行
- ビューポート外での実行
- 全画面表示
ゲームパッド
- Geolocation
- ジャイロスコープ
- HID(ヒューマンインターフェースデバイス)
- アイデンティティクレデンシャル取得
- アイドル検出
- ローカルフォント
- 磁力計
- マイク
- Midi
- OTP-認証情報
- 支払
- 画中画
- 公開鍵-情報-作成
- 公開鍵資格情報取得
- 画面ウェイクロック
- Serial
- スピーカー選択
- ストレージアクセス
- Usb
- Web-Share
- ウィンドウ管理
- Xr-Spatial-Tracking
他の HTTP ヘッダーを構成する
HTTPS の安全な接続を許可する
HTTP Strict-Transport-Security ヘッダーに対応する設定は、ユーザーがアドレス バーに「http://」と入力しても、ブラウザーにユーザーが HTTPS でのみ Web サイトに接続すべきだと知らせます。 サーバーとのすべてのコミュニケーションが暗号化され、プロトコル ダウングレード攻撃や Cookie ハイジャックなどの特定の種類の攻撃からの保護を保証することで、中間者攻撃を防ぐのに役立ちます。
Note
セキュリティ上の理由により、この設定は変更できません。
HTTP ヘッダーに参照元情報を含める
Referrer-Policy HTTP ヘッダーは、ユーザーが 1 つのページから別のページに移動したときに、要求の配信元に関する情報 (参照元情報) が HTTP ヘッダーに公開される量を制御します。 このヘッダーは、参照元情報に関連するプライバシーとセキュリティの側面を制御するのに役立ちます。
| 値 | 説明 |
|---|---|
| 参照元なし | 参照元なしは、ヘッダーで参照元情報が送信されないことを意味します。 この設定は、最もプライバシーに配慮したオプションです。 |
| ダウングレード時の参照元なし | HTTPS サイトから HTTP サイトに移動する場合は完全な参照元情報が送信されますが、HTTPS サイト間を移動する場合はオリジンのみが送信されます (パスやクエリは送信されません)。 |
| 同じオリジン - 参照元ポリシー | 同じオリジンは、要求が同じオリジンに対して行われた場合にのみ、完全な参照元情報を送信します。 クロスオリジン リクエストの場合、オリジンのみが送信されます。 |
| オリジン | オリジンは、同じオリジン要求とクロスオリジン要求の両方において、参照元のオリジンを送信しますが、パスやクエリ情報は送信しません。 |
| 厳格なオリジン | 同じオリジンのリクエストに対してのみ参照元情報を送信しますが、オリジンに類似しています。 |
| クロスオリジン時のオリジン | 同じオリジンのリクエストに対してのみ参照元情報を送信しますが、オリジンに類似しています。 |