ほかのWebサイトにcybozu.cn画面を埋め込むには

記事番号:02013

初期設定では、cybozu.cnのコンテンツを、ほかのWebサイトやシステムなどに埋め込めません。
埋め込むには、cybozu.cn共通管理で「外部サイトへの埋め込み」を許可する必要があります。

コンテンツの埋め込みとは

コンテンツの埋め込みとは、iframeタグ、または、frameタグを使って、cybozu.cnのコンテンツをほかのWebサイトやシステムに表示することを指します。
たとえば、kintoneで作成した在庫管理アプリを、お使いの業務システムに埋め込んで、メンバーがすぐに在庫数を確認できるようにする、といった使いかたができます。

イラスト:kintoneのアプリをWebサイトに埋め込んだときのイメージを示している

セキュリティリスク

「外部サイトへの埋め込み」を許可すると、セキュリティ上のリスクが生じます。
必要がない限り、「外部サイトへの埋め込み」を禁止しておくことをおすすめします。

具体的なリスクとして、クリックジャッキングとクロスサイトリクエストフォージェリの2つが考えられます。

クリックジャッキング

クリックジャッキングとは、Webページの透過表示機能などを悪用し、ユーザーが閲覧しているページとは別のサイトをユーザーにクリックさせる攻撃のことです。
非公開の情報をユーザー自身の操作で公開させてしまうなど、情報漏えいの原因の1つとなっています。

初期設定(「外部サイトへの埋め込み」が禁止の状態)では、サーバーのレスポンスのヘッダーに「X-Frame-Options: SAMEORIGIN」が付きます。
アドレスバーに表示されたドメインと同じWebサイトのみ表示が許可され、攻撃者のサイトにcybozu.cnのサイトを表示できなくなります。

クロスサイトリクエストフォージェリ

クロスサイトリクエストフォージェリ(CSRF)とは、ユーザーがサイトでフォームへの入力など何らかの操作をしたときに、そのサイトとは別のサイトを裏で操作させる攻撃のことです。
たとえば、悪意のあるサイトにユーザーがアクセスすることで、ユーザーが意図せずkintoneにコメントを書き込んでしまう、といったことが起こり得ます。

  • 「外部サイトへの埋め込み」が禁止の状態(初期設定)
    別のサイトを介してcybozu.cnのサービスを操作することはできないようになっています。
    それにより、ユーザーの意図しない操作がcybozu.cn上で行われることを防ぎます。

  • 「外部サイトへの埋め込み」が許可の状態
    別のサイトを介してcybozu.cnの操作が可能になります。
    第三者が、ユーザーの意図しない操作をする恐れがあります。リスクを認識の上、機能を利用してください。

外部サイトへの埋め込みを許可する

  1. ヘッダーにある 歯車の形をした管理者メニューのアイコンをクリックします。

  2. [cybozu.cn共通管理]をクリックします。
    cybozu.cn共通管理へのアクセス方法

  3. [その他の設定]をクリックします。 スクリーンショット:[その他の設定]が枠線で強調されている

  4. 「その他の設定」画面で、「外部サイトへの埋め込み」の「許可する」を選択します。

  5. [保存]をクリックします。

設定の変更が反映されるタイミング

外部サイトへの埋め込みを許可したあと、cybozu.cnに反映されるタイミングは、ユーザーごとに異なります。
ユーザーが次の操作を行ったときに、新しい設定が反映されます。

  • 一度ログアウトし、ログインし直す
  • ログインの有効期限が切れたあとにログインし直す
    初期設定では、有効期限は最終アクセスから24時間です。

Safariで必要な設定

外部サイトへの埋め込みを許可しても、macOS Safariの初期設定では、外部サイトの埋め込みには対応していません。
埋め込んだcybozu.cnのコンテンツを表示するには、下記の設定が必要です。