HOME > FAQ > フォームの「セキュリティ」とはどのような機能ですか?

フォームの「セキュリティ」とはどのような機能ですか?

作成したフォームのセキュリティに関する設定をすることができます。


関連するページ
フォーム
安全なスパイラルアプリケーションの作り方(機能グループ別)

目次

  1. 非SSL(http)での登録
  2. IP アドレスによるアクセス制限
  3. 接続元 URL によるアクセス制限
  4. マイエリア認証によるアクセス制限
  5. 不正経路からの登録防止
  6. 連続投稿の禁止
  7. POST制限
  8. コンテンツに関するセキュリティ設定

1. 非SSL(http)での登録

非SSLでの接続を許可するか許可しないかを選択します。
SSL 非対応の携帯に対応するためなど、やむを得ない場合を除き、「許可しない」にチェックすることを推奨します。


2. IP アドレスによるアクセス制限

IP アドレスによるアクセス制限の設定ができます。
IPアドレスによるアクセス制限を行うと許可したIPアドレス以外からフォームの表示と登録を行えなくなります。


3. 接続元 URL によるアクセス制限

接続元 URL によるアクセス制限の設定ができます。
接続元URLによるアクセス制限を行うと許可した接続元URL以外からフォームの表示と登録をおこなえません。
許可したURLが接続元URLに前方一致すればアクセスを許可します。
許可するURLは、http:// または https:// を省略可能です。省略した場合は、接続元URLが http://、https:// どちらでもアクセスを許可します。

注意事項

・フォームURLと同じドメインのURLは接続を制限できません。
・接続元URLにワイルドカードは使用できません。


4. マイエリア認証によるアクセス制限

マイエリア認証によるアクセス制限を行うとマイエリア内のページにフォームを設置していて、
マイエリアのログインセッションが有効な場合のみ登録を行えます。


5. 不正経路からの登録防止

不正経路からの登録防止を行うと確認ページを表示した場合にのみ登録を許可します。
登録経路を制限するには、確認ページを使用する必要があります。
確認ページを使用しないなど、やむを得ない場合を除き、「制限する」にチェックすることを推奨します。


6. 連続投稿の禁止

同一IPアドレスからの連続投稿を指定時間禁止します。
同一IPアドレスからの同時接続を防止したい場合は、「5秒」に設定することを推奨いたします。


7. POST制限

※ver1.12.4で追加される機能です。

フォームで送信する際、POSTメソッドしか使えないよう制限ができます。
GETメソッドで送信するとエラーになります。
アプリケーションの構成上GETメソッドでの送信が必要な場合などを除き、「制限する」にチェックすることを推奨します

初期値

フォーム作成時の初期値が、スパイラルver1.12.4リリース前とリリース後で異なります。
(1.12.4バージョンアップに新規作成)
「制限しない」


(1.12.4バージョンアップに新規作成)
「制限する」


8. コンテンツに関するセキュリティ設定

※ver1.12.4で追加される機能です。

クロスサイトスクリプティング対策及びクリックジャッキング対策を行えます。
やむを得ない場合を除き、「設定する」にチェックし、
「クロスサイトスクリプティング対策」および「クリックジャッキング対策」にチェックすることを推奨します。

クロスサイトスクリプティング対策

(1)クロスサイトスクリプティングとは

Webアプリケーションの脆弱性、もしくはその脆弱性を利用した攻撃のことです。
攻撃者は、悪意のあるスクリプトの入ったページに利用者を誘導し、スクリプトを実行させます。

(2)「クロスサイトスクリプティング対策」にチェックした場合

設定(許可)すると、レスポンスヘッダに以下の要素が追加され、危険なスクリプトがブロックされます。
X-XSS-Protection:1; mode=block


クリックジャッキング対策

(1)クリックジャッキングとは

Webページの利用者にとって意図しない動作をさせる攻撃のことです。
攻撃者は、利用者が開くWebページに透明化した悪意のあるページやボタンを重ねて、利用者にとって意図しないクリックをさせます。

(2)「クリックジャッキング対策」にチェックした場合

設定(許可)すると、レスポンスヘッダに以下の要素が追加され、対象ページを他のページ内に設置しても表示されません。
X-Frame-Options:SAMEORIGIN

(3)「クリックジャッキング対策」にチェックした場合のiframeの利用

iframeを利用している場合、対象ページを異なるドメインのiframeの中に設置するとページが表示されなくなります。
例えば、スパイラル以外のWebページにて、iframeを使って、スパイラルで作成したフォームを読み込んでいる場合、フォームは表示されません。

ページが表示されない際の表示

 ・Google Chromeの場合 :iframe内が真っ白になります。
 ・Safariの場合     :iframe内が真っ白になります。
 ・InternetExplorerの場合:iframe内に「このコンテンツはフレーム内で表示できません」というエラーが表示されます。

画面イメージ

(下の画像はGoogle Chromeの場合です。ブラウザによって表示が異なります。)


初期値

フォーム作成時の初期値が、スパイラルver1.12.4リリース前とリリース後で異なります。
(1.12.4バージョンアップに新規作成)
「設定しない」


(1.12.4バージョンアップに新規作成)
・「設定する」
・「クロスサイトスクリプティング対策」および「クリックジャッキング対策」にチェックがつきます。


最終更新日:2018/2/14