morihirok https://blog.hatena.ne.jp/morihirok/ STORES Product Blog https://product.st.inc/ STORES ネットショップ バックエンド STORES EC本部のソフトウェアエンジニア @_morihirok です。 STORES ECではクリックジャッキングの脆弱性に対応するため、2021年の2月に他ドメインのサイトからのiframe要素などによる読み込みを制限するアップデートを行いました。 コンテンツセキュリティポリシー（以下CSP）を利用し安全にアップデートを行うことができましたので、今回はその取り組みについてご紹介させていただければと思います。 今回のアップデートに至るまでの背景 STORES ECのバックエンドはRuby on Railsで開発されています。Railsではデフォルトの設定で X-Frame-Option… 190 <iframe src="https://hatenablog-parts.com/embed?url=https%3A%2F%2Fproduct.st.inc%2Fentry%2F2021%2F06%2F24%2F104436" title="CSPを利用してRailsアプリから安全にiframeを制限する - STORES Product Blog" class="embed-card embed-blogcard" scrolling="no" frameborder="0" style="display: block; width: 100%; height: 190px; max-width: 500px; margin: 10px 0px;"></iframe> Hatena Blog https://hatena.blog 2021-06-24 10:44:36 rich https://product.st.inc/entry/2021/06/24/104436 1.0 100%