運用サポート(平日10:00~17:00) 06-6485-6485

Webスキミング防止設定について

ご利用店舗では、Webスキミング防止機能が有効になっています。

仕様変更を2021年4月26日に実施しました

Webスキミング事案のリスクを考慮し、セキュリティ対策機能強化を、当初予定しておりました8月24日から変更しました。

安全なECサイト構築方法について

個人情報、クレジットカード情報、パスワードなどの重要情報が入力または表示される画面では、JavaScriptおよびiframeタグを利用しないでください。

  • 個人情報・決済情報・パスワードなど重要情報が記載される画面でのJavaScriptのご利用を避けるため、メニューなどのUIパーツ用のJavaScriptを全画面に入れないように構築してください。
  • トップページ・商品グループ・商品詳細など、必要な画面のみJavaScriptをご利用ください。
    • なお、コマースクリエイターのスタートアップテーマ(スマートフォンサイト)のハンバーガーメニューは、CSSのみで動作しており、JavaScriptを利用していません。
    • どうしても、該当画面でJavaScriptをご利用される場合は、インラインスクリプトをご利用ください。
    • JQueryなどのJavaScriptライブラリやプラグイン(例えば、Smooth Scroll・Swiper・matchHeightなど)については、外部CDN(Google Hosted LibrariescdnjsjsDelivrjQuery の4サイト)から読み込んでいただけます。(詳しくはこちら
    • 以下から始まるURLは許可されます。
      • https://ajax.googleapis.com/
      • http://ajax.googleapis.com/
      • https://cdnjs.cloudflare.com/
      • https://cdn.jsdelivr.net/
      • //code.jquery.com/

Webスキミング防止設定の詳細

Webスキミング防止設定によって、以下が制限されます。

個人情報・決済情報・パスワードなど重要情報が記載される画面での「iframeの利用」「外部JavaScriptファイルの読み込み」

商品ページ、商品カテゴリページ、トップページなどでは、JavaScriptが利用できます。
ご注文完了・お申し込み完了・会員登録完了・メールマガジン申込完了などでは、JavaScriptが利用できます。
Google Analyticsでの測定はすべてのページで可能です。また、アフィリエイト・広告などのコンバージョン測定はこれまでどおり可能です。

店舗様が自由にファイルをアップロードできる外部サーバ※ に設置されたJavaScriptファイルの読み込みや、iframeタグの記述があっても、ECサイトには表示されなくなります。

※外部サーバとは
  1. CMS(VPS)サーバのJavaScriptファイル
  2. itemboxサーバのJavaScriptファイル
  3. futureshop以外でご契約されているサーバのJavaScriptファイル

対象画面

  • お客様情報入力
  • ご注文手続き
  • お届け先一覧・商品数量指定・商品数量情報更新・配送・包装方法選択(複数お届け)
  • お申込み手続き
  • 会員登録・会員登録認証・会員カード認証
  • パスワードをお忘れの方・新しいパスワードの登録
  • ログイン(マイページログイン・お気に入りログイン・ショッピングカートログイン・LINEログイン・クーポンログイン・レビューログイン)
  • 注文履歴詳細(マイページ)
  • 定期・頒布会申込履歴詳細(マイページ)
  • クレジットカード(マイページ)
  • お届け先リスト・お届け先登録・お届け先変更(マイページ)
  • 会員情報詳細・会員登録内容変更・パスワード変更(マイページ)
  • ポイントおまとめ(マイページ)
  • 退会手続き(マイページ)

ご注文完了・お申し込み完了・会員登録完了・メールマガジン申込完了などは対象外となります。

対象画面の詳細(URL等)

Webスキミング防止機能の詳細

iframeタグ削除

iframeタグとは、別のhtmlファイルやPHPファイルを読み込んで画面に表示するものです。
読み込まれる「外部ファイル」が改ざんされ、攻撃に利用されるリスクがありますので、個人情報・クレジットカード情報・パスワードなどの重要情報が入力または表示される画面では、iframeタグを削除いたします。

※商品ページ、商品カテゴリページ、トップページなどでは、そのまま利用できます。

iframeタグ(削除されます)
(例)
<iframe src="/iframe/sidebar.html" frameborder="0" scrolling="no"></iframe>

scriptタグ削除

読み込まれる「外部JavaScriptファイル」が改ざんされ、攻撃に利用されるリスクがありますので、個人情報・クレジットカード情報・パスワードなどの重要情報が入力または表示される画面では、外部ファイル読み込み用のscriptタグを削除いたします。

※商品ページ、商品カテゴリページ、トップページなどでは、そのまま利用できます。

なお、futureshopシステムで出力するJavaScriptファイルは削除されません。ECサイトの機能を実現するためであり、また、弊社にて安全に管理しております。

外部ファイル読み込みscriptタグ(削除されます)

scriptタグにて、サーバに配置したJavaScriptファイルを読み込み、ファイルに記載されたスクリプトを実行するものです。削除対象となります。

(例)
<script src="/js/jquery-2.2.4.min.js"></script>
<script src="https://example.com/js/samplescript.js"></script>
インラインスクリプト(削除されません)

scriptタグの中にJavaScriptが記載されているものです。

(例)
<script>
  // ここにJavaScriptプログラムが記載される
</script>
仕様変更後のインラインスクリプト(一部動作しません)

個人情報・クレジットカード情報・パスワードなどの重要情報が入力または表示される画面では、インラインスクリプトからの外部ファイル読み込みは不可となります。

※商品ページ、商品カテゴリページ、トップページなどでは、そのまま利用できます。

(仕様変更後に不可となる例)
<script>
(function(w, a, i, o) {
  if (w[i] === o) return;
  w[i] = o;
  var b = a.createElement("script");
  b.type = "text/javascript";
  b.async = !0;
  b.src = "https://example.com/js/samplescript.js";
// 外部スクリプト読み込み用のscriptタグを生成する内容ですが、外部スクリプトは読み込みできません
  a = a.getElementsByTagName("script")[0];
  a.parentNode.insertBefore(b, a)
  })(window, document, 'sampleId', 'sampleAccount');
</script>

連携システムでのJavaScript利用について

個人情報・クレジットカード情報・パスワードなどの重要情報が入力または表示される画面では、連携システム(広告・トラッキング・MAなど)のJavaScriptについても、同様に削除されます。

※商品ページ、商品カテゴリページ、トップページなどでは、そのまま利用できます。

scriptタグ・iframeタグ削除設定を「利用する」にチェックしてご確認ください。測定タグ設定(コマースクリエイター)の共通設定に記載されている場合も、出力されません。

測定タグの確認について

プレビュー確認する場合のご注意

プレビューでは、測定タグに設置したJavaScriptは出力されません。

※ECサイト構築時に、誤って測定されないよう、上記の仕様となっています。

主な測定タグについて

ご注文完了・お申し込み完了・会員登録完了・メールマガジン申込完了などはWebスキミング防止設定の対象外となります。

対象画面をご確認ください。

サービス名 Webスキミング防止設定の影響
拡張eコマース ご利用に問題ありません。
futureCartRecovery ショッピングカートと注文完了に設置しますので、ご利用に問題はありません。
Google広告 動的リマーケティング ショッピングカートと注文完了に設置しますので、ご利用に問題はありません。
Google広告 コンバージョン トラッキング 注文完了に設置しますので、ご利用に問題はありません。
Google Tag Manager 対象画面では動作いたしません。
Yahoo!タグマネージャー 対象画面では動作いたしません。

測定タグ以外のJavaScriptについて

ご利用いただけるサービスについて

ご利用にあたってJavaScriptが必要なサービスについて、以下がご利用いただけます。

サービス名 Webスキミング防止設定の影響
FONTPLUS ご利用に問題はありません。
TypeSquare ご利用に問題はありません。
Adobe Fonts ご利用に問題はありません。

対象画面でのJavaScript実行について

対象画面で、どうしてもJavaScriptの実行が必要な場合、以下の制限付きとなりますが、ご利用いただけます。

制限事項

  • 外部ファイルの読み込みスクリプトは利用できません。
  • インラインスクリプトは実行可能ですが、仕様変更後は、インラインスクリプトからの外部ファイル読み込みが禁止されます。
  • 外部CDN(Google Hosted LibrariescdnjsjsDelivrjQuery の4サイト)からのスクリプト読み込みは、仕様変更後も可能です。
  • 外部CDNの利用方法は、外部CDNのご紹介をご覧ください。
  • 以下から始まるURLは許可されます。
    • https://ajax.googleapis.com/
    • http://ajax.googleapis.com/
    • https://cdnjs.cloudflare.com/
    • https://cdn.jsdelivr.net/
    • //code.jquery.com/

管理画面の画面・入力項目

よくJavaScript・iframeが記述されている管理画面の画面および項目名です。

カテゴリ 画面名
Google Analytics関連 プロモーション管理>拡張eコマース設定
測定タグ プロモーション管理>測定タグ-共通出力
プロモーション管理>測定タグ-共通出力以外
デザイン コマースクリエイター>パーツ>フリーパーツ・箇条書きパーツ・コラムパーツ
コマースクリエイター>メッセージ
コメント ポイント>ポイント基本設定
レコメンド>レコメンド2設定
商品管理 商品管理>商品コメント設定
商品管理>レコメンド2設定

2021年4月26日仕様変更について

  • インラインスクリプトを含めて、外部ファイル読み込みを全面的に禁止しました。

自社ECサイト運営のためのセキュリティ対策勉強会

お客様ご自身で、ECサイトのセキュリティをチェックする具体的な方法をお伝えいたします。

セキュリティ対策勉強会

Q&A

各種測定・アクセス解析・コンバージョン測定等について

  • Google Analyticsの収益(eコマース測定、または拡張eコマース測定)に影響ありますか?

    これまでどおり計測可能です。影響はありません。
  • アフィリエイト・広告などのコンバージョン測定はできますか?

    はい。これまでどおり計測は可能です。注文完了・申込完了(定期・頒布会)・会員登録完了・メールマガジン申し込み完了画面は、JavaScriptによる測定ができます。
  • Google Analyticsのアクセス解析はできますか?

    これまでどおり計測可能です。

Webスキミング防止機能について

  • Webスキミング防止機能は、全店舗一斉ですか?当社だけ除外していただくことはできますか?

    futureshop全店舗でのセキュリティ向上施策となりますので、個別の店舗の除外はいたしかねます。お買い物をされるお客様の情報を守るためとなりますので、何卒ご理解ください。
  • 商品ページや商品カテゴリページでは、JavaScript・iframeを利用して問題ないですよね。

    はい。問題ございません。
  • futureshop管理画面のコマースクリエイター>アイテムからアップロードしたJavaScriptファイル、iframe表示用ファイルは、読み込みできますか?

    いいえ。コマースクリエイター>アイテムからアップロードすると、itemサーバ(アイテムボックス)に配置されます。itemサーバ(アイテムボックス)はFTP経由でアップロード可能な外部サーバですので、読み込みできません。
  • ワードプレスで運用しているブログページも対象ですか?

    いいえ。futureshopシステムで出力しているページのうち、個人情報・決済情報・パスワードなど重要情報が記載される画面のみです。CMS(VPS)サーバオプションで、店舗様が独自に運営されているWord PressなどのCMSで稼働しているブログなどは、今回の対象外となります。
  • JavaScriptからJSONデータを読み込んでいますが、こちらはどうなりますでしょうか?
    JSONデータは、Word Pressの記事データや、外部連携サービスから出力されたデータです。

    対象画面(個人情報・クレジットカード情報・パスワードなどの重要情報が入力または表示される画面)ではJavaScriptを利用しないでください。対象画面では、そうしたデータの読み込みを行うこと自体を見直していただけますようお願いします。

JavaScript・iframeの確認について

  • 確認はフューチャーショップに依頼できますか?

    ECサイトの管理は店舗様となりますので、確認作業をお願いいたします。確認方法がお分かりにならない場合は、こちらのセミナーへご参加をご検討いただけますでしょうか。
  • JavaScriptを利用していますが、自動的に削除されても問題なければ、そのまま設置していてもいいですか?

    はい。設置されていても問題ございません。ECサイトの安全のために、削除のご対応をしていただいたほうがより安全と思われます。
  • これまでフューチャーショップサポートから連絡してもらった方法で記述していても、削除対象になりますか?

    はい。個人情報・決済情報・パスワードなど重要情報が記載される画面に記載されている場合は、対象になる場合がございます。

更新履歴

  • Google Analyticsを全画面で測定可能となるよう、変更いたしました。

  • セキュリティ対策機能強化を、当初予定しておりました8月24日から、4月26日に変更いたしました。

  • Webフォント(fontplus, TypeSquare, Adobe Fonts)が利用可能となるよう、変更いたしました。

  • futureshopの標準仕様となり、設定項目は削除されました。

その他、ご不明点などがございましたら、お気軽にフューチャーショップサポートまでお問い合わせください。

フューチャーショップサポート
06-6485-6485 受付時間:平日 10:00~17:00
メールでのお問い合わせはこちら

お問い合わせ

オンラインでのご相談はこちら