Iframeサニタイザー
Liferay DXP 2025年第4四半期以降
Liferay DXP には、各インスタンス全体で iframe がどのように処理されるかを制御する iframe サニタイザーが含まれています。 iframe は、信頼できないドメインから外部コンテンツを読み込むと、セキュリティ上のリスクをもたらす可能性があります。 このサニタイザーを使用すると、管理者はどの iframe がどのような条件で許可されるかを定義できます。
構成はインスタンス レベルで適用されるため、管理者はインスタンスおよびドメインごとにきめ細かな制御を行うことができます。
Iframeサニタイザーの設定
デフォルトでは、iframe サニタイザーは、安全でない埋め込みを防ぐために、ほとんどのユーザーが送信したコンテンツから <iframe> タグを削除しますが、Web コンテンツ (JournalArticle) やフラグメント (FragmentEntry) などの信頼できるタイプではタグを許可します。
ホワイトリストとブラックリストの設定を使用してこの動作を調整できます。 ホワイトリストは iframe が許可される場所を定義し、ブラックリストは iframe が常に削除される場所を定義します。 信頼モデルに応じてこれらのリストを構成します。 たとえば、編集コンテンツでは埋め込みを許可し、メッセージボードやウィキなどのユーザー生成領域では埋め込みをブロックすることができます。
iframe が許可されている場合は、サンドボックス属性値フィールドを使用して iframe の動作を制御できます。 このフィールドは、 allow-scripts、 allow-forms、 allow-same-originなどの HTML サンドボックス フラグを指定します。 空白のままにすると、iframe が完全にサンドボックス化され、スクリプト、フォーム、ナビゲーションがブロックされ、セキュリティが最大限に高まります。 これらの属性の詳細については、 Mozilla の Iframe Sandbox リファレンス を参照してください。
iframeサニタイザーを設定するには、
-
グローバル メニュー (
) を開き、 コントロール パネル タブに移動して、 インスタンス設定をクリックします。 -
「セキュリティ」の下の 「セキュリティ ツール」 をクリックし、左側の 「Iframe Sanitizer」 メニューを選択します。
-
必要に応じて 構成オプション を調整します。 変更は現在のインスタンスとドメインにのみ影響します。
-
必要に応じて、プラス (+) ボタンを使用してさらにフィールドを追加します。
-
設定を適用するには、 「保存」 をクリックします。
設定が初めて保存されるまで、デフォルト値が表示されます。
設定オプション
| オプション | Description |
|---|---|
| 有効 | 現在のインスタンスのサニタイザーをアクティブ化します。 |
| IFrame タグを削除 | 有効にすると、コンテンツからすべての <iframe> タグが削除されます。 |
| サンドボックスの属性値 | サニタイズに合格した iframe に適用される、許可されたサンドボックス属性を定義します (例: allow-scripts、 allow-same-origin、 allow-presentation)。 |
| ブラックリスト | 常に iframe を削除する必要があるアセット クラスまたはドメインを一覧表示します。 |
| ホワイトリスト | iframe が許可されるアセット クラスまたはドメインを一覧表示します。 |