Content Security Policy (CSP)

Die Content-Security-Policy (CSP) legt regeln fest nach denen sich der Inhalt einer Seite richten kann und muss. So kann zusätzliche Sicherheit gewährleistet werden. Details zum sehr umfangreichen CSP-Header finden sich z.B. bei Mozilla.

Ziel ist es die CSP vollständig zu unterstützen. CONTAILOR-Instanzen sollen zudem nur das zulassen, was für die jeweilige Seite notwendig ist. Dazu gibt es diverse Einstellungen, die der Webseitenersteller bei der Implementierung entsprechend anpassen muss.

Die Einzelheiten einer jeden Einstellung finden sich unter allgemeine Einstellungen.

Implementierung in CONTAILOR

CONTAILOR unterstützt derzeit folgende Direktiven:

script-src: 'self', 'unsafe-inline', sowie zugelassene externe Domains als Freitext
style-src: 'self', 'unsafe-inline', sowie zugelassene externe Domains als Freitext
img-src: 'self data:' wird immer gesetzt + Freitext für externe Domains
font-src: 'self' wird immer gesetzt + Freitext für externe Domains
frame-src: 'none', '*', 'self' + Freitext für externe Domains ('none' greift nie im Edit-Mode, da das diesen lahmlegen würde)
child-src: Entspricht immer 1:1 der frame-src
frame-ancestors: 'self', 'none', '*'; Wert wird anhand des X-Frame-Option-Headers bestimmt
media-src: 'self data:': wird immer gesetzt
base-uri: 'self': wird immer gesetzt
worker-src 'none': wird immer gesetzt
manifest-src 'self': wird immer gesetzt
prefetch-src 'none': wird immer gesetzt
form-action 'self': wird immer gesetzt

Es soll im weiteren Verlauf dann der interne Code verbessert werden, um noch strengere Richtlinien der CSP verwenden zu können.

War dieser Beitrag hilfreich?

1 von 1 fanden dies hilfreich.

Schade! Bitte teilen Sie uns doch mit was Ihnen nicht weitergeholfen hat.

Es ist ein technisches Problem aufgetreten. Bitte wenden Sie sich telefonisch oder per E-Mail an uns.