Content Security Policy(CSP)のリストは、SDKの機能追加に基づいて更新される場合があります。
Content Security Policy(CSP)は、クロスサイトスクリプティング(XSS)、クリックジャッキング、ピクセルパーフェクト・タイミング攻撃などのコードインジェクション攻撃を防ぐために設計された、不可欠なウェブセキュリティ標準です。
以下は、チャネルトークのCSPリストです。プラットフォームでCSPを実装している場合は、これらを必ずホワイトリストに含めてください。
Plaintext
default-src
*.channel.io
*.channel.app
*.cdninstagram.com
connect-src
*.channel.io
*.channel.app
*.sentry.io
wss://*.channel.io
wss://*.desk-ws.channel.io
wss://*.front-ws.channel.io
script-src
'unsafe-inline'
*.channel.io
*.sentry-cdn.com
style-src
'unsafe-inline'
img-src
*.channel.io
*.cdninstagram.com
blob:script-src 内の 'unsafe-inline' ディレクティブは、インストール時に使用されるようなインラインスクリプトにのみ必要です。'unsafe-inline' の代わりに nonce- キーワードを使用することも可能です。詳細については、CSP: script-src を参照してください。