機械翻訳について
  1. Oracle Integration Generation 2のOracle Visual Builderでのアプリケーションの開発
  2. ユースケース &トラブルシューティング
  3. トラブルシューティング& FAQ
  4. カスタムContent-Security-Policyヘッダーを設定する方法

カスタムContent-Security-Policyヘッダーを設定する方法

Content-Security-PolicyヘッダーはHTTPレスポンス・ヘッダーであり、これを使用して、アプリケーションやその場所からロードできるリソース(JavaScript、CSS、イメージなど)を制限できます。 デフォルトでは、Visual Builderによってヘッダーに適切な値が設定されますが、アプリケーションに対してオーバーライドするように選択できます。

デフォルト値では、埋込み(または「アプリケーション・レベルの設定エディタのセキュリティ・タブで構成されている場合は、これを許可」)は拒否されます。 また、インライン・スクリプトおよびスタイルに加えて、HTTPSソースからのみインポートされたスクリプトおよびスタイルを使用することもできます。 これがアプリケーションに適していない場合は、アプリケーションのapp-flow.jsonファイルのuserConfig要素にcontentSecurityPolicyプロパティを追加することで、独自のヘッダー値を設定できます。
  1. ナビゲータのWeb Appsタブで、webアプリケーションを選択し、JSONタブをクリックしてapp-flow.jsonファイルを開きます。
  2. ファイルにuserConfig要素を構成します。これはデフォルトで次のように定義されます:
    "userConfig": {
   "type": "vb/DefaultSecurityProvider",   
   "configuration": {},
   "embedding": "deny"
    },
    contentSecurityPolicyプロパティを追加し、その値をサーバー・レスポンスのヘッダーに必要な正確なディレクティブに定義します(詳細は、「CSP参照」を参照してください):
      "contentSecurityPolicy": "<your-value>",

    埋込みを許可する場合は、ヘッダーの一部としてディレクティブを定義してください。定義しない場合は、アプリケーション・レベルのセキュリティ設定で指定された埋込み構成が有効になります。 この設定は、デフォルトで埋め込みを拒否します("embedding": "deny")。

    contentSecurityPolicyプロパティが指定されていない場合、次のデフォルト構成が有効になります:
       "contentSecurityPolicy": "frame-ancestors 'self', script-src 'self' 'unsafe-eval' 'unsafe-inline'
      https:, style-src 'self' 'unsafe-inline' https:"