Hilfe-Center

Content Security Policy (CSP)

Die Content-Security-Policy (CSP) legt regeln fest nach denen sich der Inhalt einer Seite richten kann und muss. So kann zusätzliche Sicherheit gewährleistet werden. Details zum sehr umfangreichen CSP-Header finden sich z.B. bei Mozilla.

Ziel ist es die CSP vollständig zu unterstützen. CONTAILOR-Instanzen sollen zudem nur das zulassen, was für die jeweilige Seite notwendig ist. Dazu gibt es diverse Einstellungen, die der Webseitenersteller bei der Implementierung entsprechend anpassen muss.

Die Einzelheiten einer jeden Einstellung finden sich unter allgemeine Einstellungen.

Implementierung in CONTAILOR

CONTAILOR unterstützt derzeit folgende Direktiven:

  • script-src: 'self', 'unsafe-inline', sowie zugelassene externe Domains als Freitext
  • style-src: 'self', 'unsafe-inline', sowie zugelassene externe Domains als Freitext
  • img-src: 'self data:' wird immer gesetzt + Freitext für externe Domains
  • font-src: 'self' wird immer gesetzt + Freitext für externe Domains
  • frame-src: 'none', '*', 'self' + Freitext für externe Domains ('none' greift nie im Edit-Mode, da das diesen lahmlegen würde)
  • child-src: Entspricht immer 1:1 der frame-src
  • frame-ancestors: 'self', 'none', '*'; Wert wird anhand des X-Frame-Option-Headers bestimmt
  • media-src: 'self data:': wird immer gesetzt
  • base-uri: 'self': wird immer gesetzt
  • worker-src 'none': wird immer gesetzt
  • manifest-src 'self': wird immer gesetzt
  • prefetch-src 'none': wird immer gesetzt
  • form-action 'self': wird immer gesetzt

Es soll im weiteren Verlauf dann der interne Code verbessert werden, um noch strengere Richtlinien der CSP verwenden zu können.

War dieser Beitrag hilfreich?
1 von 1 fanden dies hilfreich.
Es ist ein technisches Problem aufgetreten. Bitte wenden Sie sich telefonisch oder per E-Mail an uns.