セキュリティ設定

フォーム毎に用意された「セキュリティ」タブで、セキュリティに関する設定を行うことができます。

フォームの有効期限

espar form には不正利用を防ぐため、フォーム表示から入力完了までの時間に制限を設けています。本項目はその制限時間を指定します。デフォルトは 60m であり、フォーム表示から60分以内でなければ送信を受け付けないことを意味します。

有効期限表記のmは分を意味しています。mを含めて以下の表記を使用できます。

表記	意味	例と意味
ms	ミリ秒	`100ms` : 100ミリ秒
s	秒	`45s` : 45秒
m	分	`15m` : 15分
h	時間	`1h` : 1時間

表記は小文字とし、数字との間にスペース等の余計な文字列を含めないで下さい。

極端に短くしないようにして下さい。以下の式が成り立つ時、エラーとなりメール送信、Chat連携、外部連携API等の処理は行われません。

フォーム表示の瞬間から送信までの合計所要時間 > フォームの有効期限

仮に 10m のように短い時間を指定した場合、サイト閲覧者はフォームを表示してから送信ボタンクリックまで10分以内に完了しなければならないことを意味します。[入力画面]→[確認画面]→[入力画面]→[確認画面]…のように何度も確認と修正を繰り返す時間も全て合算されます。

連続送信禁止期間

espar form にはスパム行為を防ぐため、連続送信を禁止する制限機構が備わっています。本項目で指定された時間の間、ユーザは連続してフォーム送信をすることができません。デフォルトは 30s であり、一度フォーム送信をした後30秒間は再送信できないことを意味します。

有効期限表記のsは秒を意味しています。sを含めて以下の表記を使用できます。

表記	意味	例と意味
s	秒	`45s` : 45秒
m	分	`15m` : 15分
h	時間	`1h` : 1時間

表記は小文字とし、数字との間にスペース等の余計な文字列を含めないで下さい。

極端に短くしないようにして下さい。仮に 10s のように短い時間を指定した場合、10秒経過以降は同一ユーザが何度でもフォーム送信ができることを意味します。

極端に長い期間を指定する場合、適切かどうか吟味して下さい。同じユーザが2回に分けて問い合わせる場合等に支障をきたす可能性があります。仮に 1h とした場合、1つ目の問い合わせのあとユーザは1時間以上を待たなければ2つ目の問い合わせを行えないことになります。

禁止期間の適正値は、フォームの入力項目やフォームを設置するサイトの特性によって変わります。通常はデフォルト値で問題ないと考えられますが、適宜調整して下さい。

拒否するIPアドレス

特定のIPアドレスやIPレンジからのフォーム送信を拒否することができます。

拒否するIPアドレス

1行に1つのIPv4アドレス、またはCIDR表記によるIPレンジを入力して下さい。最大100行まで記述することができます。

203.0.113.5
198.51.100.0/24

スパム送信元のIPアドレスが特定できている場合や、特定のネットワークからのアクセスを遮断したい場合に使用します。該当するIPアドレスからのアクセスに対しては、espar form のトークンが発行されないため、フォーム送信自体が不可能になります。(確認や送信のボタンが押せなくなります)

拒否するユーザーエージェント

特定のユーザーエージェントからのフォーム送信を拒否することができます。

拒否するユーザーエージェント

該当するユーザーエージェントからのアクセスに対しては、espar form のトークンが発行されないため、フォーム送信自体が不可能になります。(確認や送信のボタンが押せなくなります)

1行に1つのユーザーエージェントパターンを入力して下さい。部分一致で判定され、大文字小文字の区別はありません。最大100行まで記述することができます。

Googlebot
bingbot

ボットやクローラーからの自動送信を防止したい場合で、ユーザーエージェントが判明している場合に使用します。

送信拒否する入力値

フォームの入力値をパターンマッチして、特定文字列を含む場合に送信を拒否することができます。

送信拒否する入力値

「対象」にはフォームの入力要素を、「パターン」に拒否したい文字列を指定します。「対象」と「パターン」の組み合わせを「エントリ」と呼び、最大100個まで登録することができます。

対象の指定

対象には、メールテンプレートの変数と同じ記法 {{ .要素名 }} でフォーム入力要素を指定します。例えばパターンマッチさせたい入力要素のHTMLが以下のような場合、

<textarea name="content"></textarea>

対象には {{ .content }} と指定します。

カンマ区切りで複数のフィールドを指定することもできます。この場合、指定したフィールドの入力値を結合した上でパターンマッチが行われます。

{{ .email1 }},{{ .email2 }}

また、条件分岐を使って対象フィールドを切り替えることもできます。例えば、問い合わせ種別によってチェック対象の本文フィールドが異なる場合は以下のように指定することができます。

{{ if eq .type "採用" }}{{ .content1 }}{{ else }}{{ .content2 }}{{ end }}

パターンの指定

1行に1つのパターン文字列を入力して下さい。いずれかのパターンに部分一致した場合、送信が拒否されます。パターン文字列は、1つあたり3文字以上200文字以内で指定して下さい。パターン文字列は最大100行まで記述できます。

以下に、パターンの指定の例を示します。

本文中の文字列で弾く

問い合わせフォームを使ったフォーム営業の入力には、ある程度の傾向があります。よく見られる文字列を指定することができます。

M&A
採用戦略
人材紹介
SEO対策
助成金

入力者のメールアドレスのドメインで弾く

問い合わせで入力して貰うメールアドレスが特定ドメインである場合に拒否したい場合、メールアドレスを入力するフィールドを対象として、以下のようなパターンを記述することができます。特定のメールアドレスから頻繁に届く場合、メールアドレスをそのまま記述することも考えられます。

exmaple.com
sample.jp
spam@test.biz

会社名で弾く

フォーム中に会社名を入力する欄がある場合、会社名をパターン文字列として指定することで弾くことができます。

テスト株式会社
テスト株
テスト(株)
テスト（株）

エントリの追加と削除

「＋追加」ボタンで対象とパターンのペア（エントリ）を追加できます。エントリは最大100件まで登録できます。「－」ボタンでエントリを削除できます。

パターンマッチした時の挙動

パターンにマッチする内容を含むフォーム入力をして「送信」しようとする際に、入力が拒否された旨のエラー文言を表示することができます。

送信拒否時のエラー表示例

拒否が発生した場合、 フォームID-m-submit-denied クラスを指定したHTML要素が表示されます。上図では「お問い合わせ内容により〜」の文章で該当する箇所のHTMLは以下の通りです。(フォームIDは espf です。form-danger は装飾のためのCSSです)

<div class="form-danger espf-m-submit-denied" style="display:none;">
お問い合わせ内容により送信が拒否されました。入力内容をご確認ください。
</div>

フォームID-m-submit-denied クラスを指定したHTML要素が記述されていない場合、別の内部エラー表示クラスが表示されます。詳細は内部エラー表示クラスを参照してください。

拒否履歴

上記のセキュリティ設定（IPアドレス拒否、ユーザーエージェント拒否、入力値拒否）によって拒否された送信の履歴を確認することができます。「▶ 拒否履歴」をクリックすると展開表示されます。

履歴は月別に記録されており、プルダウンで表示する月を切り替えることができます。表示されるデータにはソートやフィルタ機能があり、特定の拒否パターンの絞り込みが可能です。

拒否が意図通りに機能しているかの確認や、正規ユーザーの誤拒否の検知に活用して下さい。