2025/08/05 CSP（コンテンツセキュリティポリシー）を更新しました

平素より HR Deli をご利用いただき、誠にありがとうございます。
2025年8月5日(火)に行った「CSP（コンテンツセキュリティポリシー）を更新」について詳細を報告いたします。

CSP（コンテンツセキュリティポリシー）の更新

①script-srcにnonce対応

本対応により、お客様が管理画面で設定している計測タグなどのscriptタグに自動で許可します。

なお、Googleタグマネージャー内の計測タグにつきましては、
管理画面の「サイト情報」＞［head］にて設定された GTM 埋め込みコードを以下に置き換えることで、nonce による自動許可が行えます。

<script>(function(w,d,s,l,i){w[l]=w[l]||[];w[l].push({‘gtm.start’: new Date().getTime(),event:’gtm.js’});var f=d.getElementsByTagName(s)[0], j=d.createElement(s),dl=l!=’dataLayer’?’&l=’+l:”;j.async=true;j.src= ‘https://www.googletagmanager.com/gtm.js?id=’+i+dl;var n=d.querySelector(‘[nonce]’); n&&j.setAttribute(‘nonce’,n.nonce||n.getAttribute(‘nonce’));f.parentNode.insertBefore(j,f); })(window,document,’script’,’dataLayer’,’GTM-XXXXXX’);</script>

※末尾の「GTM-XXXXXX」には、お客様が利用しているGTM コンテナ IDに変更してください。

【留意点】
・計測タグによっては、script-src以外のディレクティブ(connect-srcなど)の許可が必要になります。
・CSPエラーが発生しているかの確認は後述のCSPエラーの確認方法をご参照ください。

②CSPの設定にGA広告・Facebookを追加

前回からの更新内容は以下となります。

・connect-src
　・https://.facebook.com

・frame-src
　・https://bid.g.doubleclick.net
　・https://.facebook.com

CSPエラーの確認方法

CSPエラーの確認は、Google Chromeのデベロッパーツールよりご確認いただくことが可能です。

1．Google Chromeで求職者画面を表示します。

2．ブラウザ右上の三点リーダー（︙）のメニューより、［その他のツール］＞［デベロッパーツール］を選択します。

3．［コンソール(Console)］タブにエラー情報が表示されていないかをご確認ください。

CSPエラーが発生している場合、どのドメインがCSPエラーが発生しているかのメッセージが表示されます。

内容をご確認いただき、CSPの許可が必要な場合はHR Deliサポートデスクにご連絡ください。

※ご利用のタグについて公式サイトよりCSPの情報がございましたら、合わせてご共有いただけますと幸いです。

メールアドレス
support_hrdeli@e2info.com

——————————————
今後とも HR Deli をよろしくお願いいたします。