コンテンツセキュリティポリシー - デフォルトのヘッダー設定
CSP ヘッダー値 - デフォルト設定
ThingWorx では以下の CSP ヘッダー値がデフォルトです。管理者が CSP ヘッダーコンフィギュレーションを更新する方法については、コンテンツセキュリティポリシーのヘッダー値の設定を参照してください。
|
ヘッダー
|
デフォルト設定
|
注記
|
||
|---|---|---|---|---|
|
default-src
|
'self'
|
ページにロードしたりフェッチしたりできるフォールバックリソースのデフォルト (script-src、style-src など) を指定できます。
|
||
|
connect-src
|
'self'
|
HTTP リクエストをフェッチできるいくつかのブラウザメカニズムを保護します。これには、XMLHttpRequest (XHR/AJAX)、WebSocket、fetch()、<a ping>、EventSource などが含まれます。
|
||
|
font-src
|
'self'
|
@font-face を使用して、フォントのロードを保護します。
|
||
|
frame-ancestors
|
'self'
|
現在のリソースにフレームを適用できる親 URL を指定できます。frame-ancestors CSP ディレクティブを使用して、frame または iframe 内にページを配置することを許可したりブロックしたりできます。
web.xml でクリックジャックフィルタが設定されている場合に、CSP への移行が発生すると、frame-ancestor は 'self' に設定され、クリックジャックフィルタで許可リストが定義されます。
|
||
|
frame-src
|
'self' tw-ra-client:
|
フレームのロードを制御します。たとえば、HTML ドキュメント内で <iframe> HTML タグを使用します。
|
||
|
img-src
|
'self'
|
イメージのロードを保護します。たとえば、<img> HTML タグを使用します。
|
||
|
media-src
|
'self'
|
オーディオと動画のロードを保護します。たとえば、HTML5 <audio> および <video> エレメントなどです。
|
||
|
object-src
|
'self'
|
<object> エレメントおよび <embed> エレメントの有効なソースを指定します。Flash、Java、ActiveX コントロールなどのブラウザプラグイン機能が含まれます。
|
||
|
script-src
|
'self' 'unsafe-eval' 'unsafe-inline'
|
JavaScript のロードと実行を保護します。
|
||
|
style-src
|
'self' 'unsafe-inline'
|
CSS スタイルとスタイルシートのロードと実行を保護します。
|
||
|
worker-src
|
'self'
|
 |
この注記は object-src に関連しています。
通常、CSP ディレクティブを修正した場合、デフォルト設定と新しい設定が組み合わされるので、CSP ヘッダーに注入される値にはデフォルト設定と新しい設定が含まれています。たとえば、frame-ancestors はデフォルトで 'self' になります。frame-ancestors コンフィギュレーションを更新して https://*.somedomain.com を追加した場合、最終的なヘッダー値は 'self' ‘https://*.somedomain.com’ になります。
object-src を 'none' に設定できるようにするには、異なる動作をします。管理者による更新によってデフォルト設定が追加されると、代わりに、更新後の値がデフォルト値に置き換わります。たとえば、object-src のデフォルト設定は 'self' です。object-src を https://*.somedomain.com に更新した場合、CSP に送信されるディレクティブは https://*.somedomain.com のみになります。'self' を含める場合、object-src を ‘https://*.somedomain.com' 'self’ に明示的に設定する必要があります。object-src コンフィギュレーションに 'none' が含まれている場合、その他の設定はオーバーライドされます。したがって、'self' 'none' は実質的には 'none' です。
|