許可リストを設定する
Confluence 管理者は URL をホワイトリストに追加できます。
許可するには、URL を許可リストに追加します。
許可されたソース以外からコンテンツが追加された場合、Confluence はエラーを表示し、その URL を許可リストに追加するようユーザーに促します。
アプリケーション リンクは許可リストに自動的に追加されます。手動で追加する必要はありません。
許可された URL を許可リストに追加する
If you’re already familiar with the options in the steps below, use the steps to add a URL to the allowlist. The options are explained further down the page if you need more information.
In particular, make sure you understand the impact of the Allow anonymous users option. This option allows unauthenticated users. Allowing unauthenticated users will enable anonymous access to the URL even if your site has disabled the Global Anonymous site access permission.
URL を許可リストに追加するには、次の手順を実行します。
- From Administration
, select General Configuration. - In the sidebar, select Allowlist.
- 許可する URL または表現を入力します。
- Select the Type of expression (see below for examples of the types available).
- Select Allow Incoming if you need to allow CORS requests (see below).
- Select Allow anonymous users if you need to allow unauthenticated users.
- Select Add.
URL または表現が許可リストに表示されます。
許可リストに入れた URL が予想通りに機能するかをテストするには、URL を [URL のテスト] フィールドに入力します。その URL で受信トラフィックや発信トラフィックが許可されるかどうかはアイコンで示されます。
表現のタイプ
許可リストに URL を追加する際、多数の表現タイプから選択することができます。
使用する最適な式の種類を決定する際は、サイトの保護を最善なものにするために、制限の少ない URL ではなくより多い URL を選びます。
| タイプ | 説明 | 例 |
|---|---|---|
| ドメイン名 | 指定されたドメインからの全てのURL を許可します。 | https://www.example.com |
| 完全一致 | 指定された URL のみを許可します。 | https://www.example.com/thispage |
| ワイルドカードによる表現 | 一致した全ての URL を許可します。ワイルドカード*文字を使って、1つ以上の文字を置き換えます。 | https://*example.com |
| 正規表現 | 正規表現と一致した全ての URL を許可します。 | http(s)?://www\.example\.com |
受信を許可する
[受信を許可] すると、指定した組織からの CORS リクエストが有効になります。URL は scheme://host[:port] の形式と一致している必要があります。最後のスラッシュは不要です (:port は任意)。したがって、http://example.com/ と入力しても、ドメイン example.com からの CORS リクエストは許可されません。
匿名ユーザーの許可
You can use the Allow anonymous users option to allow outbound requests on behalf of unauthenticated users. This option allows unauthenticated users. Allowing unauthenticated users will enable anonymous access to the URL even if your site has disabled the Global Anonymous site access permission.
これは、アプリケーション リンクからの URL など、プライベート データを含む可能性がある URL にはお勧めしません。匿名アクセスを提供する必要がある場合は、必要なリソースのみにアクセスを制限するよう既存の URL やワイルドカード式ルールを使うことを検討してください。
アプリケーション リンクの既定の設定を変更する
アプリケーション リンクを作ると、その URL が Confluence の許可リストに自動的に追加されます。既定では、これらの URL からの送信要求は、認証ユーザーに対してのみ許可されます。
新しいアプリケーション リンクを含む、すべてのアプリケーション リンクの既定の動作を変更するには、次の手順を実行します。
- [管理] > [一般設定] > [許可リスト] に移動します。
- [設定の構成] を選択します。
- 次のいずれかを選択します。
- 匿名ユーザーを含むすべてのユーザーへの送信要求を許可する [Allow all users (すべてのユーザーを許可する)]
- 匿名ユーザーの送信要求を拒否する [Allow authenticated users (認証ユーザーを許可する)]
- すべてのユーザーの送信要求を拒否する [Restrict by default (既定で制限)] (アプリケーション リンクは許可リストに追加されません)
- 変更を [保存] します。
既存のすべてのアプリケーション リンク、および許可リストに追加された新しいアプリケーション リンクでは、この設定が使用されます。
許可リストを無効にする
許可リストはデフォルトで有効になっています。無効にできますが、悪質なコンテンツを含むすべての URL が許可されます。
許可リストを無効にしないことを強くお勧めします。無効にすると、 CONFSERVER-61399 - 詳細情報を取得中... ステータスで開示されているような、SSRF (Server-Side Request Forgery) 攻撃に対して脆弱なままになります。
許可リストを無効にするには、
- [管理] > [一般設定] > [許可リスト] に移動します。
- [許可リストをオフにする] を選択します。
- 確認を選択します
これですべての URL が許可されます。これは非推奨です。