フォームブリッジでの外部APIからデータ取得

Legacy_Account2009 · 2017 年 11 月 28 日午前 10:00

いつもお世話になっております。
現在kintoneフォームブリッジを試しており、外部APIをxhrで読み込む方法を探しております。

試したことは次の通りです。

ライブラリのロード

フォームブリッジのカスタマイズからjavascriptに次のURLを指定しました。
http://zeptojs.com/zepto.min.js

$.getJSON

フォームブリッジの画面でGoogle Chrome Consoleから次のコードを試しました。

$.getJSON('[https://raw.githubusercontent.com/typicode/json-server/master/db.json](https://raw.githubusercontent.com/typicode/json-server/master/db.json)', function(data){  
 console.log(data);  
});

エラーメッセージ

Content Security Policy directive: "connect-src 'self'".

フォームブリッジのHTTP-Response

Content-Security-Policy:default-src 'none'; script-src \* 'self' 'unsafe-inline' 'unsafe-eval'; style-src \* 'self' 'unsafe-inline'; img-src \* 'self' data:; font-src \* 'self' data:; connect-src 'self'

↓見やすく成形  
Content-Security-Policy:  
default-src 'none';   
script-src \* 'self' 'unsafe-inline' 'unsafe-eval';   
style-src \* 'self' 'unsafe-inline';   
img-src \* 'self' data:;   
font-src \* 'self' data:;   
connect-src 'self'

おそらく、Content-Security-Policyに connect-src 'self' が指定されており、外部のコンテンツを取りにいけないものかと思います。
なおkintoneアプリからはkintone.proxy関数を使うと外部APIを叩けるようです。
kintone.proxy
https://developer.cybozu.io/hc/ja/articles/202166320-%E5%A4%96%E9%83%A8API%E3%81%AE%E5%AE%9F%E8%A1%8C

kintoneフォームブリッジにて、kintone.proxy関数のように外部APIからデータを取得する手段がありましたらご教示いただけると幸いです。
何卒よろしくお願いいたします。

Legacy_Account616 · 2017 年 11 月 28 日午前 11:37

平川さん

サイボウズスタートアップスの落合です。

このセキュリティの課題に関して現在修正を行っており、近日中にリリースを予定しております。

connect-src に関しては、JavaScriptカスタマイズを行っている場合のみ、「*」が指定される予定です。

また、他の Content Security Policy もさらにセキュリティを高めた設定に変更する予定です。

以上、よろしくお願いいたします。

Legacy_Account2009 · 2017 年 11 月 29 日午前 7:45

落合様
早速の回答ありがとうございます。

将来的に
Content Security Policy
の設定が変更されるという予定ということで安心しました。

何卒よろしくお願いいたします。

Legacy_Account616 · 2017 年 12 月 1 日午後 12:48

平川さん

サイボウズスタートアップスの落合です。

バージョンアップを行い、フォームの設定により動的にContent Security Policyが変更されるようになりました。

以上、ご報告とさせていただきます。

system · 2023 年 10 月 12 日午前 12:37

このトピックはベストアンサーに選ばれた返信から 3 日が経過したので自動的にクローズされました。新たに返信することはできません。