この記事について

株式会社 UnReact はプロジェクトの一環として Shopify 開発者ドキュメントの和訳を行っています。
この記事は、Apps/App Store/Shopify ads/ad reporting の記事を和訳したものです。

記事内で使用する画像は、公式ドキュメント内の画像を引用して使用させていただいております。

認証されたショップドメインでのみアプリがフレーム可能になるようにする

クリックジャッキング攻撃を回避するためには、アプリに適切な Content Security Policy frame-ancestors ディレクティブを設定する必要があります。Shopify App Store にアプリを提出する際に、Content Security Policy の frame-ancestors ディレクティブがなかったり、間違って設定されていたりすると、アプリは拒否されます。審査のためにアプリを再提出する前に、この問題に対処することが求められます。

アプリが埋め込みアプリの場合、アプリがショップ管理者の中でのみフレーム化されるように、frame-ancestorsディレクティブを現在のショップドメインと管理者ドメインに設定してください。

Content-Security-Policy: frame-ancestors https://example.myshopify.com https://admin.shopify.com;

アプリが埋め込まれていない場合は、frame-ancestorsディレクティブをnoneに設定して、すべてのフレーミングを許可しないようにします。

Content-Security-Policy: frame-ancestors 'none';