コンテンツセキュリティポリシー(CSP)は、ブラウザがウェブサイト上のコンテンツの有効なソースとして認識すべきドメインを指定することで、セキュリティを強化するセキュリティ標準です。本ドキュメントのケースでは、LiveAgentエージェントパネルまたはLiveAgentナレッジベースポータルに読み込まれるコンテンツのソースに関するものです。

コンテンツセキュリティポリシー(CSP)ヘッダーを定義することで、LiveAgentエージェントパネルやナレッジベースを標的としたクロスサイトスクリプティング(XSS)、クリックジャッキング、およびその他のコードインジェクション攻撃を防ぐことができます。

この機能を有効にする場合、許可されたすべてのソースが適切に定義されていることが非常に重要です。定義されていないドメインからのスクリプトやコンテンツはすべて自動的にブロックされ、カスタマーポータルやエージェントパネルに問題が生じる可能性があります。そのため、CSPおよびその仕組みについて十分な知識がある場合、またはウェブ管理者に設定を依頼できる場合にのみ、この機能を有効にすることを強くお勧めします。CSPの技術的な詳細についてさらに詳しく知りたい場合は、こちらのウェブサイトが参考になります。

設定方法

LiveAgentソフトウェアのCSP機能を有効にするには、LiveAgentの管理者パネルを開き、Configuration(設定)> Security(セキュリティ)> Settings(設定)に移動します。

ここに Enable CSP headers for Agent panel(エージェントパネルのCSPヘッダーを有効にする)と Enable CSP headers for KB(ナレッジベースのCSPヘッダーを有効にする)の2つのチェックボックスがあります。有効にすると、該当オプションのすぐ下に新しいフィールドが表示され、信頼できるドメインを定義する必要があります。

  • Enable CSP headers for Agent panel(エージェントパネルのCSPヘッダーを有効にする)オプションは、エージェントが使用するLiveAgentパネルのCSPを定義するために使用します
  • Enable CSP headers for KB(ナレッジベースのCSPヘッダーを有効にする)オプションは、一般公開されているLiveAgentカスタマーポータルおよびナレッジベースのCSPを定義するために使用します

例えば、example.comanotherexample.com といったドメインからのiframeをナレッジベースの記事に追加したい場合、また example.com のすべてのサブドメインからスクリプトを追加したい場合、これらのスクリプトはHTTPS経由で読み込まれる必要があります。その場合、CSPヘッダーを以下の形式で設定する必要があります:frame-src ‘self’ example.com anotherexample.com; script-src ‘self’ https://*.example.com/ https://example.com/;

以下に設定例のスクリーンショットを示します: