この記事の目次
Salesforce no scriptでスクリプトURLを禁止する
ここをクリック
上記タグはaタグを無効化するタグになります。こういったタグが増えるにつれ、自分以外が保守運用を行うようになったとしても難しいと考えられます。
どういった箇所がいけないのか
本来aタグは、リンクに飛ばすタグで無効化にするとaタグである必要がなくなります。またaタグのhref属性に「javascript:void(0);」と書く事にはデメリットもあります。 ブラウザの機能として、リンク先のURLを表示するというものがあります。ブラウザは「javascript:void(0);」をリンクと認識するので、リンク先情報としてそのまま「javascript:void(0);」と表示されてしまいます。 Salesforceにおいても同じ事がいえます。リンク箇所でno scriptとなっているとそのリンクの意味がなくなります。どうすればいいのか?
対応方法としては、hrefを取り払ってしまうか、使わない方法が考えられます。 下記を確認してください。 ここをクリック ↓ ここをクリック href=”javascript:void(0)”を取る事によりスッキリしますが、問題があります。問題とは
cssがうまく当てはまらない場合があります。hrefがないので、cssの指定がうまくいかない場合があります。Salesforce no scriptの注意点
Salesforce no scriptでは、”javascript:void(0)”を使用しスクリプトURLを禁止にするといった事ができます。しかし、javascriptと同じようにリンクを禁止にする事により、Salesforceを使った企業用コーポレートサイトはユーザーが困惑したり、UIにおいても乱れが生じる場合があります。
Salesforce no scriptを使うメリット
”javascript:void(0)”を使用する事により特定のリンクにアクセスできなくするといった事ができます。例えば、悪用されたリンクを特定後にjavascriptで判定し、リンクさせなくするといった事が可能になります。
セキュリティにおいては必要になる場面もあると考えられます。適材適所で使用していけば、有用になる面も多いと考えられます。
悪用されたURLをno scriptでリンクさせないようする場合気をつけなければならない事を以下で紹介します。
気をつける事
ここで気をつけたいのは、有用なURLのリンクをno scriptで禁止にしてしまう可能性があるという点です。有用なURLとは、httpsなどのセキュリティ対策のされたURLの事です。 セキュリティ対策のされていないURLは、脆弱性がありそれだけでSSRFやクロスサイトスクリプティング等例をあげれば多数ある攻撃対象になる可能性があります。 Salesforceに置き換えてみると企業コーポレートサイトに多く採用されている事もあり、社内の内部情報を悪用される可能性があります。社内の機密情報、顧客先のデータ、個人情報など企業コーポレートサイトには、悪用する人にとっては攻撃しない理由がないほどたくさんの有益な情報があります。 そこで悪用されたURLにかかわらず、その他にもセキュリティ対策が必要になります。 Salesforce no scriptはその中でも悪用されたURLを排除できる可能性があると考えられます。 上記で説明した通り、悪用されたリンクを判定しそれを除外する処理を作る事ができれば100%安心とは言い切れませんが、必要最低限の有用なURLのリンクは設定する事が可能となりセキュリティ対策になります。Salesforce no scriptの可能性
Salesforce no scriptは、今後のセキュリティ対策に必要な物になっていくと考えられます。特にJavaScriptとの相性が良く、aタグの中に”javascript:void(0)”を記載するだけでリンクをさせなくさせるといった効果があります。
ですが、使用する際は気をつける事も多く有用なURLのリンクもできなくなる可能性があります。悪用されたURLを除去できる反面、有用なURLも除去してしまう可能性を意識し使用できればセキュリティ対策も行えます。
その他にUI面においてもCSSの適用ができなくなる可能性もあるなど癖が強いですが、慣れていけば使い勝手の良いものになります。
no scriptでスクリプトURLを禁止する方法や注意点を理解しよう!
Salesforce no scriptは、今後Salesforceを使っていく上で必要になってくる技術であると共に十分に注意が必要なものとなります。その中で使用していくにつれ色々な可能性が出てくるでしょう。
今後Salesforceでコーポレートサイト等を構築する場合において使用する場面も多々あると考えられますが、注意点も多いという事を忘れないようにしましょう。]]>
