CSPを使用する際のプラグインの操作

はじめに

コンテンツセキュリティポリシー（CSP）は、クロスサイトスクリプティング（XSS）攻撃などの脅威を防ぐことを目的としたセキュリティ標準です。CSPが有効になっている場合、承認されたソースからのみコンテンツの読み込みが許可されます。特に、明示的に許可されていないサードパーティドメインへのリクエストを禁止します。

もしあなたがウェブソリューションに統合されたONLYOFFICE Docs（エンタープライズ版またはデベロッパー版）を使用していて、ウェブサーバー上でCSPを有効にして安全性とセキュリティ対策を向上させている場合、CSPのデフォルト設定がいくつかの問題を引き起こす可能性があります。ONLYOFFICEオンラインエディターには多くのプラグインが含まれており、その中にはサードパーティのリソースを使用し、サードパーティドメインにリクエストを送信するものもあります。例えば、YouTubeプラグインです。CSPはサードパーティドメインへのリクエストを禁止するため、これによりプラグインが正しく動作しなくなります。例えば、YouTube動画の読み込みがブロックされます。

許可されたソースのリストにサードパーティドメインを追加する

プラグインが正しく動作するためには、特定のドメインへのリクエストを許可する必要があります（完全なドメインリストは以下にあります）。これはCSPを有効にするHTTPヘッダーを変更することで行えます。使用するソリューションによって、このヘッダーは異なるファイルに配置されている場合があります。この指示は基本的な原則を説明しており、個別のケースについては説明していません。ヘッダーは次のようになります：

Header set Content-Security-Policy "default-src 'self'; script-src 'self'; connect-src 'self';  img-src 'self'; style-src 'self';"

この文字列には、スクリプト、スタイルシート、フォント、画像、HTML5 <audio> または <video> 要素など、さまざまな種類のコンテンツの許可されたソースを指定するディレクティブが含まれています。

default-src ディレクティブは、特定のリソースタイプのディレクティブが指定されていない場合に適用されます。

‘self’ は、コンテンツが現在のドメインからのみ読み込まれることを意味します。

信頼されたドメインの値を追加して default-src ディレクティブを編集する必要があります：

default-src 'self' *.trusted1.com *.trusted2.com

これにより、指定された信頼されたドメイン *.trusted1.com および *.trusted2.com、およびそのサブドメインからのコンテンツの読み込みが許可されます。

サードパーティドメインリスト

以下のプラグインはサードパーティドメインにリクエストを送信します：

上記にリストされたプラグインのうち、ONLYOFFICEオンラインエディターにデフォルトで含まれているのは、ocr、speech、thesaurus、translate、youtubeです。

clipartプラグインはオンラインエディターに含まれていませんが、https://github.com/ONLYOFFICE/sdkjs-pluginsで利用可能であり、手動でエディターに追加することができます。

すべての指定されたドメインを許可されたソースのリストに追加するには、HTTPヘッダーは次のようになります：

Header set Content-Security-Policy "default-src 'self' *openclipart.org *code.responsivevoice.org *www.youtube.com *words.bighugelabs.com *translate.yandex.net *cdn.rawgit.com; script-src 'self'; connect-src 'self'; img-src 'self'; style-src 'self';"