その他、ご不明点などがございましたら、お気軽にフューチャーショップサポートまでお問い合わせください。
Webスキミング防止設定について
ご利用店舗では、Webスキミング防止機能が有効になっています。
仕様変更を2021年4月26日に実施しました
Webスキミング事案のリスクを考慮し、セキュリティ対策機能強化を、当初予定しておりました8月24日から変更しました。
安全なECサイト構築方法について
個人情報、クレジットカード情報、パスワードなどの重要情報が入力または表示される画面では、JavaScriptおよびiframeタグを利用しないでください。
- 個人情報・決済情報・パスワードなど重要情報が記載される画面でのJavaScriptのご利用を避けるため、メニューなどのUIパーツ用のJavaScriptを全画面に入れないように構築してください。
- トップページ・商品グループ・商品詳細など、必要な画面のみJavaScriptをご利用ください。
- なお、コマースクリエイターのスタートアップテーマ(スマートフォンサイト)のハンバーガーメニューは、CSSのみで動作しており、JavaScriptを利用していません。
- どうしても、該当画面でJavaScriptをご利用される場合は、インラインスクリプトをご利用ください。
- JQueryなどのJavaScriptライブラリやプラグイン(例えば、Smooth Scroll・Swiper・matchHeightなど)については、外部CDN(Google Hosted Libraries ・ cdnjs ・ jsDelivr ・ jQuery の4サイト)から読み込んでいただけます。(詳しくはこちら)
- 以下から始まるURLは許可されます。
- https://ajax.googleapis.com/
- http://ajax.googleapis.com/
- https://cdnjs.cloudflare.com/
- https://cdn.jsdelivr.net/
- //code.jquery.com/
Webスキミング防止設定の詳細
Webスキミング防止設定によって、以下が制限されます。
個人情報・決済情報・パスワードなど重要情報が記載される画面での「iframeの利用」「外部JavaScriptファイルの読み込み」
商品ページ、商品カテゴリページ、トップページなどでは、JavaScriptが利用できます。
ご注文完了・お申込完了・会員登録完了・メルマガ申込完了などでは、JavaScriptが利用できます。
Google Analyticsでの測定はすべてのページで可能です。また、アフィリエイト・広告などのコンバージョン測定はこれまでどおり可能です。
店舗様が自由にファイルをアップロードできる外部サーバ※ に設置されたJavaScriptファイルの読み込みや、iframeタグの記述があっても、ECサイトには表示されなくなります。
- webコンテンツサーバ内のJavaScriptファイル
- CMS(VPS)サーバのJavaScriptファイル
- futureshop以外でご契約されているサーバのJavaScriptファイル
対象画面
- お客様情報入力~ご注文確認(通常販売)
- お客様情報入力~お申込確認(定期・頒布会)
- ご注文手続き(Amazon Pay)※変更画面含む
- 会員登録・会員登録確認
- パスワードをお忘れの場合・パスワードをお忘れの方
- ログイン画面(マイページログイン・お気に入りログイン・ショッピングカートログイン・LINEログイン・クーポンログイン・レビューログイン・購入後ログイン※Apple Pay)
- 注文履歴詳細(マイページ)
- 定期・頒布会購入履歴詳細(マイページ)
- 会員登録詳細・登録内容変更・登録内容変更確認・登録解除確認(マイページ)
- パスワード変更(マイページ)
- アドレス帳・アドレス帳新規登録・アドレス帳の変更・アドレス帳の削除(マイページ)
- ポイントおまとめ(マイページ)
ご注文完了・お申込完了・会員登録完了・メルマガ申込完了などは対象外となります。
Webスキミング防止機能の詳細
iframeタグ削除
iframeタグとは、別のhtmlファイルやPHPファイルを読み込んで画面に表示するものです。
読み込まれる「外部ファイル」が改ざんされ、攻撃に利用されるリスクがありますので、個人情報・クレジットカード情報・パスワードなどの重要情報が入力または表示される画面では、iframeタグを削除いたします。
※商品ページ、商品カテゴリページ、トップページなどでは、そのまま利用できます。
iframeタグ(削除されます)
<iframe src="/iframe/sidebar.html" frameborder="0" scrolling="no"></iframe>
scriptタグ削除
読み込まれる「外部JavaScriptファイル」が改ざんされ、攻撃に利用されるリスクがありますので、個人情報・クレジットカード情報・パスワードなどの重要情報が入力または表示される画面では、外部ファイル読み込み用のscriptタグを削除いたします。
※商品ページ、商品カテゴリページ、トップページなどでは、そのまま利用できます。
なお、futureshopシステムで出力するJavaScriptファイルは削除されません。ECサイトの機能を実現するためであり、また、弊社にて安全に管理しております。
外部ファイル読み込みscriptタグ(削除されます)
scriptタグにて、サーバに配置したJavaScriptファイルを読み込み、ファイルに記載されたスクリプトを実行するものです。削除対象となります。
<script src="/js/jquery-2.2.4.min.js"></script>
<script src="https://example.com/js/samplescript.js"></script>
インラインスクリプト(削除されません)
scriptタグの中にJavaScriptが記載されているものです。
<script>
// ここにJavaScriptプログラムが記載される
</script>
仕様変更後のインラインスクリプト(一部動作しません)
個人情報・クレジットカード情報・パスワードなどの重要情報が入力または表示される画面では、インラインスクリプトからの外部ファイル読み込みは不可となります。
※商品ページ、商品カテゴリページ、トップページなどでは、そのまま利用できます。
<script>
(function(w, a, i, o) {
if (w[i] === o) return;
w[i] = o;
var b = a.createElement("script");
b.type = "text/javascript";
b.async = !0;
b.src = "https://example.com/js/samplescript.js";
// 外部スクリプト読み込み用のscriptタグを生成する内容ですが、外部スクリプトは読み込みできません
a = a.getElementsByTagName("script")[0];
a.parentNode.insertBefore(b, a)
})(window, document, 'sampleId', 'sampleAccount');
</script>
連携システムでのJavaScript利用について
個人情報・クレジットカード情報・パスワードなどの重要情報が入力または表示される画面では、連携システム(広告・トラッキング・MAなど)のJavaScriptについても、同様に削除されます。
※商品ページ、商品カテゴリページ、トップページなどでは、そのまま利用できます。
Webスキミング防止設定を「script・iframeタグ削除機能を有効にする」にチェックしてご確認ください。任意測定タグ設定(以前からの構築機能)の共通設定に記載されている場合も、出力されません。
測定タグの確認について
プレビュー確認する場合のご注意
プレビューでは、測定タグに設置したJavaScriptは出力されません。
※ECサイト構築時に、誤って測定されないよう、上記の仕様となっています。
主な測定タグについて
ご注文完了・お申込完了・会員登録完了・メルマガ申込完了などはWebスキミング防止設定の対象外となります。
対象画面をご確認ください。
サービス名 | Webスキミング防止設定の影響 |
---|---|
Google Analytics eコマース |
ご利用に問題ありません。 |
futureCartRecovery | ショッピングカートと注文完了に設置しますので、ご利用に問題はありません。 |
Google広告 動的リマーケティング | ショッピングカートと注文完了に設置しますので、ご利用に問題はありません。 |
Google広告 コンバージョン トラッキング | 注文完了に設置しますので、ご利用に問題はありません。 |
Google Tag Manager | 対象画面では動作いたしません。 |
Yahoo!タグマネージャー | 対象画面では動作いたしません。 |
測定タグ以外のJavaScriptについて
ご利用いただけるサービスについて
ご利用にあたってJavaScriptが必要なサービスについて、以下がご利用いただけます。
サービス名 | Webスキミング防止設定の影響 |
---|---|
FONTPLUS | ご利用に問題はありません。 |
TypeSquare | ご利用に問題はありません。 |
Adobe Fonts | ご利用に問題はありません。 |
対象画面でのJavaScript実行について
対象画面で、どうしてもJavaScriptの実行が必要な場合、以下の制限付きとなりますが、ご利用いただけます。
制限事項
- 外部ファイルの読み込みスクリプトは利用できません。
- インラインスクリプトは実行可能ですが、仕様変更後は、インラインスクリプトからの外部ファイル読み込みが禁止されます。
- 外部CDN(Google Hosted Libraries ・ cdnjs ・ jsDelivr ・ jQuery の4サイト)からのスクリプト読み込みは、仕様変更後も可能です。
- 外部CDNの利用方法は、外部CDNのご紹介をご覧ください。
- 以下から始まるURLは許可されます。
- https://ajax.googleapis.com/
- http://ajax.googleapis.com/
- https://cdnjs.cloudflare.com/
- https://cdn.jsdelivr.net/
- //code.jquery.com/
管理画面の画面・入力項目
よくJavaScript・iframeが記述されている管理画面の画面および項目名です。
カテゴリ | 画面名 | 削除対象 |
---|---|---|
Google Analytics関連 | Google設定>サイトアクティビティトラッキング |
削除対象 ※Googlle Analyticsは削除対象外 |
測定タグ | プロモーション管理>任意測定タグ-共通出力 | 削除対象 |
プロモーション管理>任意測定タグ-共通出力以外 |
削除対象外 (対象画面に出力されません) |
|
プロモーション管理>任意アフィリエイト プロモーション管理>広告測定設定 |
削除対象外 (対象画面に出力されません) |
|
デザイン | デザイン設定>レイアウト編集 デザイン設定>コメントパターン設定 デザイン設定>オリジナルCSS/JavaScript編集-オリジナルJavaScript1・2 ページ設定>スマートフォン各ページ設定 ページ設定>コメントパターン一覧 |
削除対象 |
コメント | 各種設定項目のHTMLタグ可コメント | 削除対象 |
商品管理 | 商品管理>商品基本情報編集-商品説明・いいね/ツイートボタン設定 |
削除対象外 (対象画面に出力されません) |
2021年4月26日仕様変更について
- インラインスクリプトを含めて、外部ファイル読み込みを全面的に禁止しました。
Q&A
各種測定・アクセス解析・コンバージョン測定等について
-
Google Analyticsの収益(eコマース測定、または拡張eコマース測定)に影響ありますか?
これまでどおり計測可能です。影響はありません。 -
アフィリエイト・広告などのコンバージョン測定はできますか?
はい。これまでどおり計測は可能です。注文完了・申込完了(定期・頒布会)・会員登録完了・メールマガジン申し込み完了画面は、JavaScriptによる測定ができます。 -
Google Analyticsのアクセス解析はできますか?
これまでどおり計測可能です。
Webスキミング防止機能について
-
Webスキミング防止機能は、全店舗一斉ですか?当社だけ除外していただくことはできますか?
futureshop全店舗でのセキュリティ向上施策となりますので、個別の店舗の除外はいたしかねます。お買い物をされるお客様の情報を守るためとなりますので、何卒ご理解ください。 -
商品ページや商品カテゴリページでは、JavaScript・iframeを利用して問題ないですよね。
はい。問題ございません。 -
ワードプレスで運用しているブログページも対象ですか?
いいえ。futureshopシステムで出力しているページのうち、個人情報・決済情報・パスワードなど重要情報が記載される画面のみです。CMS(VPS)サーバオプションで、店舗様が独自に運営されているWord PressなどのCMSで稼働しているブログなどは、今回の対象外となります。 -
JavaScriptからJSONデータを読み込んでいますが、こちらはどうなりますでしょうか?
JSONデータは、Word Pressの記事データや、外部連携サービスから出力されたデータです。対象画面(個人情報・クレジットカード情報・パスワードなどの重要情報が入力または表示される画面)ではJavaScriptを利用しないでください。対象画面では、そうしたデータの読み込みを行うこと自体を見直していただけますようお願いします。
JavaScript・iframeの確認について
-
確認はフューチャーショップに依頼できますか?
ECサイトの管理は店舗様となりますので、確認作業をお願いいたします。確認方法がお分かりにならない場合は、こちらのセミナーへご参加をご検討いただけますでしょうか。 -
JavaScriptを利用していますが、自動的に削除されても問題なければ、そのまま設置していてもいいですか?
はい。設置されていても問題ございません。ECサイトの安全のために、削除のご対応をしていただいたほうがより安全と思われます。 -
これまでフューチャーショップサポートから連絡してもらった方法で記述していても、削除対象になりますか?
はい。個人情報・決済情報・パスワードなど重要情報が記載される画面に記載されている場合は、対象になる場合がございます。
更新履歴
-
Google Analyticsを全画面で測定可能となるよう、変更いたしました。
-
セキュリティ対策機能強化を、当初予定しておりました8月24日から、4月26日に変更いたしました。
-
Webフォント(fontplus, TypeSquare, Adobe Fonts)が利用可能となるよう、変更いたしました。
-
futureshopの標準仕様となり、設定項目は削除されました。