このページはAIにより自動翻訳されており、不正確な内容が含まれている可能性があります。翻訳の誤りを報告するには、ページ右側の目次の下にあるフィードバックをご利用ください。
コンテンツセキュリティポリシーのヘッダー
Content-Security-Policyは、Webサイトでコンテンツを読み込む方法と場所を制限することで、追加のセキュリティを提供します。この参考記事では、Web SDKに必要なコンテンツセキュリティポリシーヘッダーについて説明します。
重要
この記事は、CSPルールを適用し、Brazeと統合するWebサイトに取り組む開発者を対象としています。セキュリティへのアプローチ方法に関する助言を目的としたものではありません。
注
このガイドでは、Braze Web SDK 4.0.0+ のコードサンプルを使用します。最新の Web SDK バージョンにアップグレードするには、SDK アップグレードガイドを参照してください。
Nonce属性
script-srcまたはstyle-srcディレクティブでnonce値を使用する場合、その値をcontentSecurityNonce初期化オプションに渡して、SDKによって新たに作成されるスクリプトやスタイルに伝播させます。
1
2
3
4
5
6
import * as braze from "@braze/web-sdk";
braze.initialize(apiKey, {
baseUrl: baseUrl,
contentSecurityNonce: "YOUR-NONCE-HERE", // assumes a "nonce-YOUR-NONCE-HERE" CSP value
});
ディレクティブ
connect-src
警告
URLは、選択したbaseUrl初期化オプションのAPI SDKエンドポイントと一致する必要があります。
| URL | 情報 |
|---|---|
connect-src https://sdk.iad-01.braze.com |
SDKがBraze APIと通信できるようにします。このURLを、選択したbaseUrl初期化オプションのAPI SDKエンドポイントに一致するように変更してください。 |
script-src
| URL | 情報 |
|---|---|
script-src https://js.appboycdn.com |
CDNホスト統合を使用する場合に必要です。 |
script-src 'unsafe-eval' |
appboyQueueへの参照を含む統合スニペットを使用する場合に必要です。このディレクティブの使用を避けるには、代わりにNPMを使用してSDKを統合してください。 |
script-src 'nonce-...'または script-src 'unsafe-inline' |
カスタムHTMLなど、特定のアプリ内メッセージに必要です。 |
img-src
| URL | 情報 |
|---|---|
img-src: appboy-images.com braze-images.com cdn.braze.eu |
Braze CDNホスト画像を使用する場合に必要です。ホスト名はダッシュボードクラスタによって異なる場合があります。 重要: カスタムフォントを使用している場合は、 font-srcも含める必要があります。 |
Font Awesome
Font Awesomeの自動組み込みを無効にするには、doNotLoadFontAwesome初期化オプションを使用します。
import * as braze from "@braze/web-sdk";
braze.initialize(apiKey, {
baseUrl: baseUrl,
doNotLoadFontAwesome: true,
});
Font Awesomeを使用する場合は、次のCSPディレクティブが必要です。
font-src https://use.fontawesome.comstyle-src https://use.fontawesome.comstyle-src 'nonce-...'またはstyle-src 'unsafe-inline'
New Stuff!