ナレッジサイト
ログイン
【1】 フォントをWebサイトと統一するためGoogle fontのAPI読み込みを予定しておりますが、外部からの読み込みはセキュリティ上避けたほうがよろしいでしょうか。 【2】 SVGアイコンをSPIRALのフォームのコードに直書きする予定です。 セキュリティ上の問題や推奨されていないなどのルールはございますか。 【3】 会員登録のメールアドレス登録フォームにバリデーションは事前に設定されているか。 それも制作会社側でjavascriptでバリデーションを設定する必要があるか。 例) 区分使用可能な文字:英数字半角英数字(大文字・小文字を区別しない) 使用可能な記号:. - _ +(その他 `! # $ % & ' * / = ? ^ { } 禁止事項:全角文字、スペース、@ の複数使用、ドットの連続や前後配置 以上よろしくお願いいたします。
コメント
> 【3】 > 会員登録のメールアドレス登録フォームにバリデーションは事前に設定されているか。 > それも制作会社側でjavascriptでバリデーションを設定する必要があるか。 メールアドレス用のフィールドをご利用の場合は標準で登録可能なフォーマットが定義されております。 フォーム上で動的にエラー検知・表示をする必要がある場合はJavaScriptでのバリデーションが必要になりますが、登録データのフォーマットはDBのフィールドタイプにより保証されます。 ▽ 参考:メールアドレスフィールドについて https://support.smp.ne.jp/manuals/mm_email_nc/ ご確認のほど、よろしくお願いいたします。
ナレッジ
向上チーム
お問い合わせいただきましてありがとうございます。 > 【1】 > フォントをWebサイトと統一するためGoogle fontのAPI読み込みを予定しておりますが、外部からの読み込み > セキュリティ上避けたほうがよろしいでしょうか。 外部サービスのリソースを取得すること自体に制限はかけておりませんが、当社としてそのリソースの安全性を保障することはできかねます。 linkタグでstylesheetとして読み込む場合、Javascriptほどの懸念(任意コード実行)はございませんが一定の注意は必要になります。 セキュリティ上の対策につきましては、大きな方針としては2通りございます。 セキュリティ要件に合わせて設定をご検討ください。 ・リソースをシステム内に配置 ・対策:外部リソースをシステム内に再設置 ・効果:コンテンツの改ざんや外部への通信を防止 ・リソースの信頼性を確保 ・対策:CSP(Content-Security-Policy)、SRI(Subresource Integrity)の設定 ・効果:CSPで接続先の信頼性、SRIで取得リソースが改ざんされていないことを保証 > 【2】 > SVGアイコンをSPIRALのフォームのコードに直書きする予定です。 > セキュリティ上の問題や推奨されていないなどのルールはございますか。 特段設定についてのルールはございませんが、アイコンを使いまわす想定であれば運用・保守の観点から以下のような構築を推奨いたします。 - SVGデータをカスタムモジュールに設置する - 各ページでは共通のSVGデータを読み込む 上記のように設定することにより、アイコンが変更された際の対応漏れを防止することが可能かと存じます。
-
いいね
2026年5月14日(木)