コンテンツセキュリティポリシー(CSP)は、クロスサイトスクリプティング(XSS)やデータインジェクション攻撃などの、特定の種類の攻撃を検知して軽減するための追加セキュリティレイヤーです。CSPで問題が発生している場合は、完全に機能するように調整する必要がある場合があります。
この記事では、フィードバックのすべての機能を使えるようにするための最低限必要なディレクティブについて説明します。PendoのEngage(インサイトとガイダンス)プラットフォームでCSPを有効にする必要がある場合は、元のコンテンツセキュリティポリシー(CSP)の記事をご覧ください。
最低限必要なディレクティブ
注:以下の
foo.example.com
の部分をすべて、適切なホスト名に置き換えてください。必要に応じて、ホスト名の前にhttps://
を加えてください。最低限必要なCSPディレクティブ(EU以外の米国/各国のお客様):
Pendoリソースセンターへのフィードバックの埋め込みを含むすべての機能:
connect-src foo.example.com api.feedback.us.pendo.io
frame-src foo.example.com portal.feedback.us.pendo.io
さらにビジュアルデザインスタジオを使用している場合:
script-src 'unsafe-inline' 'unsafe-eval'
訪問者がFeedbackにアクセスするウィジェットビューを使用している場合:
style-src 'unsafe-inline'
フィードバックが機能するために最低限必要な要件:
connect-src foo.example.com api.feedback.us.pendo.io
最低限必要なCSPディレクティブ(EUのお客様):
Pendoリソースセンターへのフィードバックの埋め込みを含むすべての機能
connect-src foo.example.com api.feedback.eu.pendo.io
frame-src foo.example.com portal.feedback.eu.pendo.io
さらにビジュアルデザインスタジオを使用している場合:
script-src 'unsafe-inline' 'unsafe-eval'
訪問者がFeedbackにアクセスするウィジェットビューを使用している場合:
style-src 'unsafe-inline'
フィードバックが機能するために最低限必要な要件
connect-src api.feedback.eu.pendo.io