コンテンツセキュリティポリシーのヘッダー
Content-Security-Policy は、Web サイトでコンテンツを読み込むする方法と場所を制限することで、追加のセキュリティーを提供します。この参考記事では、Web SDK に必要なコンテンツセキュリティポリシーヘッダーについて説明します。
important:
この記事は、CSP 規則を実行し、Braze と統合する Web サイトを処理する開発者を対象にしています。セキュリティ問題にどのように対処するかについての助言を目的としたものではありません。
note:
このガイドでは、Braze Web SDK 4.0.0+ のコードサンプルを使用します。最新の Web SDK バージョンにアップグレードするには、SDK アップグレードガイドを参照してください。
Nonce 属性
nonce 値を script-src または style-src ディレクティブで使用し、その値を contentSecurityNonce 初期化オプションに渡して、新たに作成されたスクリプトと SDK によって生成されたスタイルにそれを伝播する場合:
1
2
3
4
5
6
import * as braze from "@braze/web-sdk";
braze.initialize(apiKey, {
baseUrl: baseUrl,
contentSecurityNonce: "YOUR-NONCE-HERE", // assumes a "nonce-YOUR-NONCE-HERE" CSP value
});
指令
connect-src
| URL | インフォメーション |
|---|---|
connect-src https://sdk.iad-01.braze.com |
SDK が Braze API と通信できるようにします。このURL を、選択したbaseUrl 初期化オプションのAPI SDK エンドポイント に一致するように変更します。 |
script-src
| URL | インフォメーション |
|---|---|
script-src https://js.appboycdn.com |
CDN ホスト統合を使用する場合に必要です。 |
script-src 'unsafe-eval' |
appboyQueue への参照を含む統合スニペットを使用する場合に必要です。このディレクティブの使用を避けるには、代わりにNPMを使用してSDKを統合します。 |
script-src 'nonce-...'または script-src 'unsafe-inline' |
カスタムHTML など、特定のアプリ内メッセージに必要です。 |
img-src
| URL | インフォメーション |
|---|---|
img-src: appboy-images.com braze-images.com cdn.braze.eu |
Braze CDN ホスト画像を使用する場合に必要です。ホスト名はダッシュボードクラスタによって異なる場合があります。 重要:カスタムフォントを使用している場合は、 font-src も含める必要があります。 |
Font Awesome
Font Awesome の自動組み込みを無効にするには、次のように doNotLoadFontAwesome 初期化オプションを使用します。
1
2
3
4
5
6
import * as braze from "@braze/web-sdk";
braze.initialize(apiKey, {
baseUrl: baseUrl,
doNotLoadFontAwesome: true,
});
Font Awesome を使用する場合は、次の CSP ディレクティブが必要です。
font-src https://use.fontawesome.comstyle-src https://use.fontawesome.comstyle-src 'nonce-...'またはstyle-src 'unsafe-inline'
GitHub でこのページを編集
「このページはどの程度役に立ちましたか?」
New Stuff!