記事やコメントでのHTMLタグのご利用やscript
タグの埋め込みを禁止する方法について説明します。
この設定を有効にすることで、 <script>
, <iframe>
, <meta>
等のタグや一部のタグの属性が削除され、有効なタグと属性だけがHTMLとして出力されるようになります。
これらの設定は、設定後に作成・更新した記事やコメントへ適用されます。
チームの Owner
だけが変更可能です。
左のSETTINGS
メニューから管理者メニュー
を選択して Markdown セキュアオプション
から設定を変更してください。
以下の3つのオプションからお選びいただけます。
script
タグの利用を全面的に禁止し、一部のタグのみの使用を許可するscript
タグ及び、一部のタグのみの使用を許可する(デフォルト)すべてのドメイン内の script
タグの使用を全面的に禁止します。
有効なタグと属性に記載されたのHTMLタグに限り使用できます。
Twitterの埋め込み等、他サービスのウィジェット利用などができなくなる場合があります。
最も安全なオプションになります。
規定のドメイン下のURLを script
タグの src
へ指定できます。 script
タグ内に書いたスクリプトは無視されます。
さらに、 script
タグの src
へ指定を許可するドメインを追加できます。
すべてのHTMLタグ、またすべてのドメインにおける script
タグの使用を許可します。
セキュリティ面に関しては自己責任にてご利用ください。
2017年11月27日14:00以前に作成されたチームはこちらの設定がデフォルトとなっております。
<script>alert(1)</script>
などを記事本文中に書いてアラートが出ないことを確認します。
b, em, i, strong, u, a, abbr, blockquote, br, cite, code, dd, dfn, dl, dt, kbd, li, mark, ol, p, pre, q, s, samp, small, strike, sub, sup, time, ul, var, address, article, aside, bdi, bdo, body, caption, col, colgroup, data, del, div, figcaption, figure, footer, h1, h2, h3, h4, h5, h6, head, header, hgroup, hr, html, img, ins, main, nav, rp, rt, ruby, section, span, style, summary, sup, table, tbody, td, tfoot, th, thead, title, tr, wbr
タグ | 属性 |
---|---|
a | href, hreflang, name, rel, target |
abbr | title |
blockquote | cite |
dfn | title |
q | cite |
time | datetime, pubdate |
all | class, dir, hidden, id, lang, style, tabindex, title, translate |
col | span, width |
colgroup | span, width |
data | value |
del | cite, datetime |
img | align, alt, border, height, src, width |
ins | cite, datetime |
li | value |
ol | reversed, start, type |
style | media, scoped, type |
table | align, bgcolor, border, cellpadding, cellspacing, frame, rules, sortable, summary, width |
td | abbr, align, axis, colspan, headers, rowspan, valign, width |
th | abbr, align, axis, colspan, headers, rowspan, scope, sorted, valign, width |
ul | type |
iframe
に関しては以下のURLから始まるsrc
のみ埋め込み対応しております。
※ https:
は任意ですので//
始まりも可能です。