記事やコメントでのHTMLタグのご利用やscript
タグの埋め込みを禁止する方法について説明します。
この設定を有効にすることで、 <script>
, <iframe>
, <meta>
等のタグや一部のタグの属性が削除され、有効なタグと属性だけがHTMLとして出力されるようになります。
これらの設定は、設定後に作成・更新した記事やコメントへ適用されます。
チームの Owner
だけが変更可能です。
左の 「SETTINGS」 メニューから 「詳細設定」 を選択して 「Markdown セキュアオプション」 から設定を変更してください。
以下の3つのオプションからお選びいただけます。
script
タグの利用を全面的に禁止し、一部のタグのみの使用を許可するscript
タグ及び、一部のタグのみの使用を許可する(デフォルト)script
タグの利用を全面的に禁止し、一部のタグのみの使用を許可するすべてのドメイン内の script
タグの使用を全面的に禁止します。
有効なタグと属性に記載されたのHTMLタグに限り使用できます。
Twitterの埋め込み等、他サービスのウィジェット利用などができなくなる場合があります。
最も安全なオプションになります。
以下の規定のドメイン下のURLを script
タグの src
へ指定できます。 script
タグ内に書いたスクリプトは無視されます。
※ さらに、 script
タグの src
へ指定を許可するドメインを 「SETTINGS」 > 「詳細設定」 の設定ページより追加できます。
すべてのHTMLタグ、またすべてのドメインにおける script
タグの使用を許可します。
セキュリティ面に関しては自己責任にてご利用ください。
※ 2017年11月27日14:00以前に作成されたチームは1.3の設定がデフォルトとなっております。
<script>alert(1)</script>
などを記事本文中に書いてアラートが出ないことを確認します。
b, em, i, strong, u, a, abbr, blockquote, br, cite, code, dd, dfn, dl, dt, kbd, li, mark, ol, p, pre, q, s, samp, small, strike, sub, sup, time, ul, var, address, article, aside, bdi, bdo, body, caption, col, colgroup, data, del, div, figcaption, figure, footer, h1, h2, h3, h4, h5, h6, head, header, hgroup, hr, html, img, ins, main, nav, rp, rt, ruby, section, span, style, summary, sup, table, tbody, td, tfoot, th, thead, title, tr, wbr
タグ | 属性 |
---|---|
a | href, hreflang, name, rel, target |
abbr | title |
blockquote | cite |
dfn | title |
q | cite |
time | datetime, pubdate |
all | class, dir, hidden, id, lang, style, tabindex, title, translate |
col | span, width |
colgroup | span, width |
data | value |
del | cite, datetime |
img | align, alt, border, height, src, width |
ins | cite, datetime |
li | value |
ol | reversed, start, type |
style | media, scoped, type |
table | align, bgcolor, border, cellpadding, cellspacing, frame, rules, sortable, summary, width |
td | abbr, align, axis, colspan, headers, rowspan, valign, width |
th | abbr, align, axis, colspan, headers, rowspan, scope, sorted, valign, width |
ul | type |
iframe
に関しては以下のURLから始まるsrc
のみ埋め込み対応しております。
下記以外のご希望がありましたら、お問い合わせください。
※ https:
は任意ですので//
始まりも可能です。
記事やコメントでのHTMLタグのご利用や`script`タグの埋め込みを禁止する方法について説明します。 この設定を有効にすることで、 `<script>`, `<iframe>`, `<meta>` 等のタグや一部のタグの属性が削除され、[有効なタグと属性](#2-0-0)だけがHTMLとして出力されるようになります。 # 設定方法 これらの設定は、設定後に作成・更新した記事やコメントへ適用されます。 ## 1. 設定の変更 チームの `Owner` だけが変更可能です。 左の __「SETTINGS」__ メニューから __「詳細設定」__ を選択して __「Markdown セキュアオプション」__ から設定を変更してください。 <img width="744" alt="image.png (213.7 kB)" src="https://img.esa.io/uploads/production/attachments/105/2024/05/27/2/77d6557b-7bce-49dc-8943-0177504a7136.png"> 以下の3つのオプションからお選びいただけます。 - `script`タグの利用を全面的に禁止し、一部のタグのみの使用を許可する - 指定のドメイン内の`script`タグ及び、一部のタグのみの使用を許可する(デフォルト) - すべてのタグの使用を許可する ### 1.1 `script`タグの利用を全面的に禁止し、一部のタグのみの使用を許可する すべてのドメイン内の `script` タグの使用を全面的に禁止します。 [有効なタグと属性](#2-0-0)に記載されたのHTMLタグに限り使用できます。 Twitterの埋め込み等、他サービスのウィジェット利用などができなくなる場合があります。 最も安全なオプションになります。 <img width="989" alt="image.png (200.2 kB)" src="https://img.esa.io/uploads/production/attachments/105/2023/06/06/2/b4356495-5d7b-497f-8559-b45b4fd52952.png"> ### 1.2 指定のドメイン内のscriptタグ及び、一部のタグのみの使用を許可する(デフォルト) 以下の規定のドメイン下のURLを `script `タグの `src` へ指定できます。` script` タグ内に書いたスクリプトは無視されます。 - *.instagram.com - platform.twitter.com - assets.tumblr.com - embedr.flickr.com - 500px.com - source.pixiv.net - production-assets.codepen.io - jsfiddle.net - speakerdeck.com - embed.nicovideo.jp ※ さらに、 `script` タグの `src` へ指定を許可するドメインを __「SETTINGS」__ > __「詳細設定」__ の設定ページより追加できます。 <img width="998" alt="image.png (310.1 kB)" src="https://img.esa.io/uploads/production/attachments/105/2023/06/06/2/0fc6d3a1-e1ed-41e2-b4ef-0c4c910c156d.png"> ### 1.3 すべてのタグの使用を許可する すべてのHTMLタグ、またすべてのドメインにおける `script `タグの使用を許可します。 セキュリティ面に関しては自己責任にてご利用ください。 **※ 2017年11月27日14:00以前に作成されたチームは1.3の設定がデフォルトとなっております。** <img width="981" alt="image.png (156.1 kB)" src="https://img.esa.io/uploads/production/attachments/105/2023/06/06/2/53aa1452-fcc1-49f9-b347-5251f1250b91.png"> ## 2. 設定の確認 `<script>alert(1)</script>` などを記事本文中に書いてアラートが出ないことを確認します。 # 有効なタグと属性 ## 有効なタグ ``` b, em, i, strong, u, a, abbr, blockquote, br, cite, code, dd, dfn, dl, dt, kbd, li, mark, ol, p, pre, q, s, samp, small, strike, sub, sup, time, ul, var, address, article, aside, bdi, bdo, body, caption, col, colgroup, data, del, div, figcaption, figure, footer, h1, h2, h3, h4, h5, h6, head, header, hgroup, hr, html, img, ins, main, nav, rp, rt, ruby, section, span, style, summary, sup, table, tbody, td, tfoot, th, thead, title, tr, wbr ``` ## 有効な属性 | タグ | 属性 | | --- | --- | | a | href, hreflang, name, rel, target | | abbr | title | | blockquote | cite | | dfn | title | | q | cite | | time | datetime, pubdate | | all | class, dir, hidden, id, lang, style, tabindex, title, translate | | col | span, width | | colgroup | span, width | | data | value | | del | cite, datetime | | img | align, alt, border, height, src, width | | ins | cite, datetime | | li | value | | ol | reversed, start, type | | style | media, scoped, type | | table | align, bgcolor, border, cellpadding, cellspacing, frame, rules, sortable, summary, width | | td | abbr, align, axis, colspan, headers, rowspan, valign, width | | th | abbr, align, axis, colspan, headers, rowspan, scope, sorted, valign, width | | ul | type | ## iframe 埋め込み許可 URL 一覧 `iframe`に関しては以下のURLから始まる`src`のみ埋め込み対応しております。 下記以外のご希望がありましたら、お問い合わせください。 - https://docs.google.com/ - https://drive.google.com/ - https://google.com/maps/ - https://www.google.com/maps/ - https://calendar.google.com/calendar/ - https://datastudio.google.com/embed/ - https://lookerstudio.google.com/embed/ - https://www.youtube.com/embed/ - https://repl.it/ - https://invis.io/ - https://marvelapp.com/ - https://xd.adobe.com/embed/ - https://plot.ly/ - https://realtimeboard.com/app/embed/ - https://cacoo.com/ - https://www.draw.io/ - https://app.diagrams.net/ - https://viewer.diagrams.net - https://codesandbox.io/embed/ - https://mackerel.io/ - https://miro.com/ - https://www.figma.com/embed - https://stackblitz.com/ - https://*.sharepoint.com/ ※ `https:`は任意ですので`//`始まりも可能です。
記事やコメントでのHTMLタグのご利用やscript
タグの埋め込みを禁止する方法について説明します。
この設定を有効にすることで、 <script>
, <iframe>
, <meta>
等のタグや一部のタグの属性が削除され、有効なタグと属性だけがHTMLとして出力されるようになります。
これらの設定は、設定後に作成・更新した記事やコメントへ適用されます。
チームの Owner
だけが変更可能です。
左の 「SETTINGS」 メニューから 「詳細設定」 を選択して 「Markdown セキュアオプション」 から設定を変更してください。
以下の3つのオプションからお選びいただけます。
script
タグの利用を全面的に禁止し、一部のタグのみの使用を許可するscript
タグ及び、一部のタグのみの使用を許可する(デフォルト)script
タグの利用を全面的に禁止し、一部のタグのみの使用を許可するすべてのドメイン内の script
タグの使用を全面的に禁止します。
有効なタグと属性に記載されたのHTMLタグに限り使用できます。
Twitterの埋め込み等、他サービスのウィジェット利用などができなくなる場合があります。
最も安全なオプションになります。
以下の規定のドメイン下のURLを script
タグの src
へ指定できます。 script
タグ内に書いたスクリプトは無視されます。
※ さらに、 script
タグの src
へ指定を許可するドメインを 「SETTINGS」 > 「詳細設定」 の設定ページより追加できます。
すべてのHTMLタグ、またすべてのドメインにおける script
タグの使用を許可します。
セキュリティ面に関しては自己責任にてご利用ください。
※ 2017年11月27日14:00以前に作成されたチームは1.3の設定がデフォルトとなっております。
<script>alert(1)</script>
などを記事本文中に書いてアラートが出ないことを確認します。
b, em, i, strong, u, a, abbr, blockquote, br, cite, code, dd, dfn, dl, dt, kbd, li, mark, ol, p, pre, q, s, samp, small, strike, sub, sup, time, ul, var, address, article, aside, bdi, bdo, body, caption, col, colgroup, data, del, div, figcaption, figure, footer, h1, h2, h3, h4, h5, h6, head, header, hgroup, hr, html, img, ins, main, nav, rp, rt, ruby, section, span, style, summary, sup, table, tbody, td, tfoot, th, thead, title, tr, wbr
タグ | 属性 |
---|---|
a | href, hreflang, name, rel, target |
abbr | title |
blockquote | cite |
dfn | title |
q | cite |
time | datetime, pubdate |
all | class, dir, hidden, id, lang, style, tabindex, title, translate |
col | span, width |
colgroup | span, width |
data | value |
del | cite, datetime |
img | align, alt, border, height, src, width |
ins | cite, datetime |
li | value |
ol | reversed, start, type |
style | media, scoped, type |
table | align, bgcolor, border, cellpadding, cellspacing, frame, rules, sortable, summary, width |
td | abbr, align, axis, colspan, headers, rowspan, valign, width |
th | abbr, align, axis, colspan, headers, rowspan, scope, sorted, valign, width |
ul | type |
iframe
に関しては以下のURLから始まるsrc
のみ埋め込み対応しております。
下記以外のご希望がありましたら、お問い合わせください。
※ https:
は任意ですので//
始まりも可能です。