Rtoaster action+を導入しているWebサイトでコンテンツセキュリティポリシー(CSP)を設定する際の推奨値について掲載しています。
CSP推奨設定値
Rtoaster action+ではスクリプトをhttps://rt.rtoaster.jpまたはhttps://js.rtoaster.jpの2箇所から読み込んで実行します。また内部実装の都合で ‘unsafe-inline’と'unsafe-eval’の許可が必要です。ご利用には以下のCSPヘッダを追加して許可を与えてください。
Rtoaster action+で画像アップロードをご利用いただいている場合は、画像の取得先として以下の許可を与えてください。
Rtoaster action+のポップアップの初期設定の閉じるボタン(✕ボタン)・折りたたみボタンでは dataスキーマで保持している画像を利用しています。画像の取得先にscheme-sourceとしてdataを追加することで初期設定のボタンを利用できますが、こちらの設定はセキュリティ面で推奨されないものになります。
セキュリティ面でdataの追加を許容できない場合は、Webコンテンツグループ設定 で「ボタンの画像を変更する」を有効にして「閉じるボタンの画像URL」と「最小化ボタンの画像URL」の指定をお願いします。