iframe サニタイザー
Liferay DXP 2025.Q4+
Liferay DXPには、各インスタンスにおけるiframeの処理方法を制御するiframeサニタイザーが含まれています。 iframeは、信頼できないドメインから外部コンテンツを読み込む場合、セキュリティ上のリスクをもたらす可能性があります。 このサニタイザーを使用すると、管理者はどのiframeを許可し、どのような条件下で許可するかを定義できます。
この設定はインスタンスレベルで適用されるため、管理者はインスタンスごと、ドメインごとにきめ細かな制御を行うことができます。
Iframe Sanitizerの設定
デフォルトでは、iframe サニタイザーは、安全でない埋め込みを防ぐために、ほとんどのユーザー送信コンテンツから <iframe> タグを削除しますが、Web コンテンツ (JournalArticle) やフラグメント (FragmentEntry ) などの信頼できるタイプでは許可します。
ホワイトリストとブラックリストの設定を使用して、この動作を調整できます。 ホワイトリストはiframeが許可される場所を定義し、ブラックリストはiframeが常に削除される場所を定義します。 信頼モデルに合わせてこれらのリストを設定してください。 例えば、編集コンテンツへの埋め込みは許可し、掲示板やWikiなどのユーザー生成コンテンツ領域への埋め込みはブロックするといった設定が可能です。
iframeが許可されている場合、サンドボックス属性値フィールドを使用してiframeの動作を制御できます。 このフィールドでは、 allow-scripts、 allow-forms、または allow-same-origin のような HTML サンドボックス フラグを指定します。 空欄のままにしておくと、iframeが完全にサンドボックス化され、スクリプト、フォーム、ナビゲーションがブロックされるため、セキュリティが最大限に高まります。 これらの属性の詳細については、 Mozilla の Iframe サンドボックスのリファレンス を参照してください。
iframe サニタイザーを設定するには、
-
グローバルメニュー(
)を開き、[コントロールパネル]タブに移動し、[インスタンス設定]をクリックします。 -
セキュリティの下にある セキュリティツール をクリックし、左側の Iframe サニタイザー メニューを選択します。
-
必要に応じて、 設定オプション を調整してください。 変更は、現在のインスタンスとドメインのみに影響します。
-
必要に応じて、プラス(+)ボタンを使用してフィールドを追加してください。
-
設定を適用するには、 をクリックして保存 をクリックしてください。
設定が初めて保存されるまでは、デフォルト値が表示されます。
設定オプション
| オプション | Description |
|---|---|
| 有効 | 現在のインスタンスに対して消毒剤を有効化します。 |
| IFrame タグを削除 | 有効にすると、コンテンツからすべての <iframe> タグを削除します。 |
| サンドボックスの属性値 | サニタイズを通過する iframe に適用される許可されたサンドボックス属性を定義します (例: allow-scripts、 allow-same-origin、 allow-presentation)。 |
| ブラックリスト | 常にiframeを削除する必要があるアセットクラスまたはドメインを一覧表示します。 |
| ホワイトリスト | iframeが許可されているアセットクラスまたはドメインを一覧表示します。 |