原文(日本語に翻訳)
allowedDomainsのワイルドカードが許可する場合でも、特定のドメインをブロックできるsandbox.network.deniedDomains設定が追加されました。
原文(英語)
Added sandbox.network.deniedDomains setting to block specific domains even when a broader allowedDomains wildcard would otherwise permit them.
概要
Claude Codeのネットワークサンドボックスに新しい設定項目sandbox.network.deniedDomainsが追加されました。従来のallowedDomainsでワイルドカード(例: *.company.com)を使ってドメインを許可する場合、その中の特定サブドメインだけを除外することができませんでした。この設定により、許可範囲の中に例外を設けることが可能になります。deniedDomainsの設定はallowedDomainsより優先されます。
基本的な使い方
settings.jsonにてsandbox.network.deniedDomainsを設定します。
json
{
"sandbox": {
"network": {
"allowedDomains": ["*.company.com", "api.github.com"],
"deniedDomains": ["restricted.company.com", "internal.company.com"]
}
}
}実践例
社内ネットワークで特定サブドメインをブロック
*.company.comを広く許可しつつ、機密情報を扱うサブドメインへのアクセスだけを制限します。
json
{
"sandbox": {
"network": {
"allowedDomains": ["*.company.com", "*.github.com"],
"deniedDomains": [
"hr-system.company.com",
"payroll.company.com",
"admin.company.com"
]
}
}
}ワイルドカードパターンで複数のサブドメインをブロック
deniedDomainsでもワイルドカードが使えます。
json
{
"sandbox": {
"network": {
"allowedDomains": ["*.example.com"],
"deniedDomains": ["*.internal.example.com", "secrets.example.com"]
}
}
}開発環境でのAPIアクセス制限
外部APIは許可しつつ、本番環境のエンドポイントへの誤アクセスを防ぐ設定例です。
json
{
"sandbox": {
"network": {
"allowedDomains": ["api.stripe.com", "*.stripe.com"],
"deniedDomains": ["dashboard.stripe.com"]
}
}
}注意点
- 優先順位:
deniedDomainsはallowedDomainsより常に優先されます。ワイルドカードで許可されていてもdeniedDomainsに含まれるドメインはブロックされます - ワイルドカード対応:
deniedDomainsでもallowedDomainsと同じワイルドカード形式(*.example.com)が使えます - 設定ファイルの場所: プロジェクトルートの
.claude/settings.jsonまたはグローバル設定ファイルで指定できます - ネットワークサンドボックスが前提: この設定はネットワークサンドボックスが有効な場合にのみ機能します