WalkMeのコンテンツセキュリティーポリシー

Last Updated 12月 21, 2023

概要

コンテンツセキュリティーポリシー(CSP)とは、特定のコンテンツタイプの読み込みをどのドメインから許可するかを指定する方法のことです。 これは、ウェブサイトの所有者が作成し、IEまたはEdge以外のブラウザーのみに適用されます。

CSPは、ポリシー外部のソースからくるコンテンツを回避するためにウェブサイトを許可リストに登録するようなものです。 これは、顧客が組織内で特定のウェブサイトへのアクセスを許可するために設定する一般的な許可リストとは異なります。CSPでは、どの組織がアクセスするのか、どのコンピューターがアクセスに使われるのかに関わらず、Chrome、FireFox、Safariを使用している場合にその制限が課せられます。

WalkMeを含まないCSPが設定されたサイトがあるとWalkMeによるスクリプトの読み込みを妨害するため、WalkMeに影響を与えます。

CSPに関する詳細については、こちらを参照>>してください。

サイトのCSPの内容を確認するには、次の手順に従ってください。

  1. Network(ネットワーク)]タブに移動する
  2. メインページのリクエストを確認する(おそらくは最初のリクエスト)
  3. CSPは、ヘッダータブの「content-security-policy」にリストされる

技術的な詳細

CSPは、どのタイプのコンテンツにどのソースが許可されているかを指定できます。

コンテンツタイプの例には以下があります。

Javascript → script-src

CSS → style-src

画像 → img-src

デフォルト(コンテンツタイプが指定されてない場合にこのデフォルトが使用されます)→ default-src

CSPでソースが定義されておらず、かつデフォルトの指定がない場合は、そのタイプではすべてのソースが許可されます。

WalkMeを読み込むには – SaaS

CSPによってWalkMeがブロックされると、ファイルが読み込まれず、コンテンツは表示されません。 CSPのあるサイトでWalkMeを読み込ませるには、WalkMeのドメインをポリシーの適切なセクションに追加する必要があります。

指示 ソース 説明と用途
script-src ‘unsafe-inline’ *.walkme.com
  1. JavaScriptの有効なソースを定義(WalkMe lib、WalkMeプレーヤー)
  2. 画面の動的エレメントの読み込みとレンダリング
シャウトアウト、WalkMeメニュー
style-src ‘unsafe-inline’ *.walkme.com
  1. スタイルシートの有効なソースを定義
  2. HTMLエレメント内のスタイル属性の使用
スマートウォークスルーのステップ(<div style=”…”>)
frame-src ‘self’ *.walkme.com フレーム読み込みのための有効なソースを定義 ステップへの切り替え、ステップ内のiFrame
frame-ancestor *.walkme.com WalkMeドメインから得られるリソースを組み立てるために使用されます ライトボックス内のリソース
font-src

‘self’

data:

*.walkme.com WalkMeサーバーからWalkMeフォントのダウンロードに使用 WalkMeメニューとWidgetフォント
img-src

‘self’

data:

*.walkme.com WalkMeイベントコレクターが、エレメントの「表示された」イベントをキャッチするため画像(ピクセル)を挿入 画像とResources
s3.walkmeusercontent.com
d3sbxpiag177w8.cloudfront.net
connect-src ‘self’ *.walkme.com WalkMeエンドユーザーイベントについてXMLHttpRequestを送信 インサイト、ゴール、タスク、TeachMe、オンボーディング、アクションボット
worker-src blob *.walkme.com Worker(ワーカー)を使用してイベント送信に使用 セッションプレイバック
object-src *.walkme.com セッションプレイバック
コンテンツセキュリティーポリシー: script-src ‘self’ *.walkme.com ‘unsafe-inline’; style-src ‘self’ *.walkme.com ‘unsafe-inline’; img-src ‘self’ *.walkme.com s3.walkmeusercontent.com d3sbxpiag177w8.cloudfront.net data:; font-src ‘self’ *.walkme.com data:; connect-src ‘self’ *.walkme.com; frame-src ‘self’ *.walkme.com blob:; worker-src ‘self’ blob: *.walkme.com;

*.walkme.com addresses

米国/グローバルデータセンターを使用しているアカウントの場合:

  • https://playerserver.walkme.com
  • https://ec.walkme.com
  • https://cdn.walkme.com
  • https://papi.walkme.com
  • https://ec-playback.walkme.com
  • https://workstation.walkme.com

EUデータセンターを使用しているアカウントの場合:

  • https://eu-playerserver.walkme.com
  • https://eu-ec.walkme.com
  • https://eu-cdn.walkme.com
  • https://eu-papi.walkme.com
  • https://eu-workstation.walkme.com

WalkMeを読み込むには – セルフホスト

顧客が独自ホスティングを使用している場合のCSP指示は、スクリプト、スタイル、フォント、画像、フレームはWalkMeからではなくオリジナルから読み込まれるため、既存の設定によって絞りこむ必要があります。

CSPの問題の確認

IEまたはEdgeを除くすべてのブラウザーでWalkMeが読み込まれない場合は、CSPに原因がある可能性があります。 Developer Tools(開発者ツール)を開いて[Console(コンソール)]タブをクリックすれば、CSPエラーを確認できます。 ページを再読み込みした後に、開発者ツールの[Console]タブに「Content Security Policy」エラーメッセージが表示されることがあります。

この場合はITチームに連絡して、WalkMeのドメインを関連するセクションに追加するよう依頼する必要があります。

CSPメタタグがサイトのHTMLヘッドタグの下にある場合は、WalkMeをロードすることもできません。 その場合は、開発者ツールで見つかった「コンテンツセキュリティポリシー」エラーメッセージをITチームに送信して、問題を解決する必要があります。

この記事は役に立ちましたか?

ご意見ありがとうございます!

Be part of something bigger.

Engage with peers, ask questions, share ideas

Ask the Community
×

アカウントタイプの選択

選ぶ
< 戻る

Mobile account login

< 戻る