Global settings/9/ja: Difference between revisions
From LimeSurvey Manual
Bravehorse (talk | contribs) No edit summary |
Bravehorse (talk | contribs) No edit summary |
||
Line 3: | Line 3: | ||
*'''HTMLのXSSフィルター''': 既定では'オン'になっています。アンケート/グループ/質問/ラベルテキストで(JavaScriptコードなど)危険なHTMLタグを使用する権限はありません。この背後にある考え方として、アンケートのオペレーターがシステムで高い権限を得るために悪質なスクリプトを追加するのを防ぐことがあります。'''ただし、アンケートにFlashアプレットのJavascriptなど、スクリプトオブジェクトを使用する場合は、これをオフにする必要があります'''(ビデオホスティングプラットフォーム用のスクリプトを使用できます)。 | *'''HTMLのXSSフィルター''': 既定では'オン'になっています。アンケート/グループ/質問/ラベルテキストで(JavaScriptコードなど)危険なHTMLタグを使用する権限はありません。この背後にある考え方として、アンケートのオペレーターがシステムで高い権限を得るために悪質なスクリプトを追加するのを防ぐことがあります。'''ただし、アンケートにFlashアプレットのJavascriptなど、スクリプトオブジェクトを使用する場合は、これをオフにする必要があります'''(ビデオホスティングプラットフォーム用のスクリプトを使用できます)。 | ||
{{Hint|Text=スーパー管理者は、保存時または公開アンケートビューでHTMLがフィルタリングされることはありません。XSSフィルタリングの効果を確認するには、通常のユーザーアカウントを使用することをお勧めします。}} | {{Hint|Text=スーパー管理者は、保存時または公開アンケートビューでHTMLがフィルタリングされることはありません。XSSフィルタリングの効果を確認するには、通常のユーザーアカウントを使用することをお勧めします。}} | ||
{{Alert|title=注意|text=XSSを有効にすると、式マネージャーシステムの一部を使用できなくなります([[ | {{Alert|title=注意|text=XSSを有効にすると、式マネージャーシステムの一部を使用できなくなります([[ExpressionScript_-_Presentation/ja#XSS security|XSSとExpressionScript]]を参照)。}} | ||
*'''XSS制限付きユーザーの質問スクリプトを無効にする''' {{NewIn/ja|4.1.0}}: 既定では'on'に設定されているため、一般のユーザーは質問エディターでスクリプトを追加または更新することはできません。XSS保護を無効にした場合は、この設定は使用されません。'off'に設定すると、XSSフィルターがアクティブな場合であっても、質問にスクリプトを追加または更新することができます。 | |||
*'''グループメンバーは自グループのみ見ることができる''': 既定では、LimeSurvey管理インターフェースで定義された管理者以外のユーザーは、少なくとも1つの共通グループに属している場合にのみ他のユーザーを見ることができます。管理者がこれを'オフ'に設定すると、そのグループに属しているかどうかに関係なくLimeSurvey[[Manage users/ja|ユーザーコントロールパネル]]に定義されているすべてのユーザーが表示されます。 | *'''グループメンバーは自グループのみ見ることができる''': 既定では、LimeSurvey管理インターフェースで定義された管理者以外のユーザーは、少なくとも1つの共通グループに属している場合にのみ他のユーザーを見ることができます。管理者がこれを'オフ'に設定すると、そのグループに属しているかどうかに関係なくLimeSurvey[[Manage users/ja|ユーザーコントロールパネル]]に定義されているすべてのユーザーが表示されます。 | ||
*'''IFrameの組込が許可されています''': このオプションは、ブラウザが<frame>、<iframe>または<object>の中でアンケートページをレンダリングするかどうかを指定するために使用できます。これにより、アンケートが他のサイトに埋め込まれていないことを確認し、クリックジャック攻撃を回避することができます。'許可'(既定値)に設定すると、制限はありません。'同じ原点'に設定すると、<frame>、<iframe>、<object>と同じドメインとポートでアンケートが実行されている場合にのみコンテンツが読み込まれるようになります。 | *'''IFrameの組込が許可されています''': このオプションは、ブラウザが<frame>、<iframe>または<object>の中でアンケートページをレンダリングするかどうかを指定するために使用できます。これにより、アンケートが他のサイトに埋め込まれていないことを確認し、クリックジャック攻撃を回避することができます。'許可'(既定値)に設定すると、制限はありません。'同じ原点'に設定すると、<frame>、<iframe>、<object>と同じドメインとポートでアンケートが実行されている場合にのみコンテンツが読み込まれるようになります。 |
Revision as of 00:17, 23 May 2020
セキュリティ
- 管理者ユーザのみアンケートプレビュー: 既定では、アクティブでないアンケートのプレビューは認証済みユーザーに限定されています。これを'オフ'に設定すると、管理者としてログインせず、アンケートを最初に有効にせずに、アンケートURLを使用してアンケートをテストできます。
- HTMLのXSSフィルター: 既定では'オン'になっています。アンケート/グループ/質問/ラベルテキストで(JavaScriptコードなど)危険なHTMLタグを使用する権限はありません。この背後にある考え方として、アンケートのオペレーターがシステムで高い権限を得るために悪質なスクリプトを追加するのを防ぐことがあります。ただし、アンケートにFlashアプレットのJavascriptなど、スクリプトオブジェクトを使用する場合は、これをオフにする必要があります(ビデオホスティングプラットフォーム用のスクリプトを使用できます)。
Hint: スーパー管理者は、保存時または公開アンケートビューでHTMLがフィルタリングされることはありません。XSSフィルタリングの効果を確認するには、通常のユーザーアカウントを使用することをお勧めします。
注意 : XSSを有効にすると、式マネージャーシステムの一部を使用できなくなります(XSSとExpressionScriptを参照)。
- XSS制限付きユーザーの質問スクリプトを無効にする (4.1.0 から追加): 既定では'on'に設定されているため、一般のユーザーは質問エディターでスクリプトを追加または更新することはできません。XSS保護を無効にした場合は、この設定は使用されません。'off'に設定すると、XSSフィルターがアクティブな場合であっても、質問にスクリプトを追加または更新することができます。
- グループメンバーは自グループのみ見ることができる: 既定では、LimeSurvey管理インターフェースで定義された管理者以外のユーザーは、少なくとも1つの共通グループに属している場合にのみ他のユーザーを見ることができます。管理者がこれを'オフ'に設定すると、そのグループに属しているかどうかに関係なくLimeSurveyユーザーコントロールパネルに定義されているすべてのユーザーが表示されます。
- IFrameの組込が許可されています: このオプションは、ブラウザが<frame>、<iframe>または<object>の中でアンケートページをレンダリングするかどうかを指定するために使用できます。これにより、アンケートが他のサイトに埋め込まれていないことを確認し、クリックジャック攻撃を回避することができます。'許可'(既定値)に設定すると、制限はありません。'同じ原点'に設定すると、<frame>、<iframe>、<object>と同じドメインとポートでアンケートが実行されている場合にのみコンテンツが読み込まれるようになります。
Hint: 理論的には動作します。ただし、この機能は、使用されているウェブブラウザと、iframeを許可するかどうかに大きく依存するため、有効になっていると機能しない可能性があります。
- HTTPSを強制: これは、既定では"on/offを強制しない"に設定されています。HTTPSを使用する接続を強制するには、設定を"オン"に切り替えます。
注意 : サーバーがHTTPSを正しくサポートしていない場合は、システムから自分自身をロックすることができます。したがって、オプションの下にある"このリンクがちゃんと機能するか確認してください。"をクリックしてください。リンクが機能しないのにHTTPSをオンにすると、LimeSurveyが機能しなくなり、アクセスできなくなります。
Hint: 誤ってHTTPSを有効にした場合は、application/config/config.phpファイルで、ssl_emergency_overrideの値を1に変更することによって無効にすることができます。