「接続元によるアクセス制限」を設定しているフォームに許可した接続元URLからアクセスした際にエラーが発生する
最終更新日:2022年02月16日
一部ブラウザの接続元URL取得(リファラーポリシー)に関する変更に起因して、WEB機能の「接続元URLによるアクセス制限」を利用している場合に
設定で許可しているURLであってもエラーが発生することがあります。
■リファラーポリシー変更前
「https」のページから「https」のページにアクセスする、「http」のページから「https」のページにアクセスするように
アクセス時のセキュリティ水準が同等もしくは上の場合は、リファラー等のすべての情報が送信されます。
「https」のページから「http」のページにアクセスする場合はセキュリティ水準が低下するので、リファラーを含めたすべての情報を送信しない挙動となります。
※「no-referrer-when-downgrade」の場合、セキュリティ水準が低下していない通信であれば、WEB機能の「接続元URLによるアクセス制限」が問題なく動作していました。
また、クロスドメインに関するアクセスの制限もありませんでした。
■リファラーポリシー変更後
同一ドメインの場合はリファラーを含めた全ての情報を送信します。
クロスドメインの場合はドメイン情報のみを送信する挙動となります。
「https」のページから「http」のページにアクセスする場合はセキュリティ水準が低下するので、リファラーを含めたすべての情報を送信しない挙動となります。
リファラーポリシーの変更によって、接続元と接続先のURLのドメインが同一ではないと許可した形のURLが送られずドメインだけとなり、「接続元URLによるアクセス制限」にひっかかるようになりました。
■回避策
aタグに属性を付与
外部サイトからスパイラルへのリンクを記載する際に「referrerpolicy」の属性を追記してください。
〇設定例
設定前
<a href="https://xxx.smp.ne.jp/regist・・・">リンク名</a>
設定後
<a href="https://xxx.smp.ne.jp/regist・・・" referrerpolicy="no-referrer-when-downgrade">リンク名</a>