Documentation Index

Fetch the complete documentation index at: https://docs.document360.com/llms.txt

Use this file to discover all available pages before exploring further.

Haftungsausschluss: Dieser Artikel wurde durch maschinelle Übersetzung erstellt.

CSP-Direktivenreferenz

Prev Next

Die CSP-Direktivenreferenz umfasst jedes Direktivefeld, das in den Content Security Policy-Einstellungen von Document360 verfügbar ist, zusammen mit Best Practices zur Konfiguration, Methoden zum Testen Ihrer Richtlinie und Anleitungen zur Fehlersuche blockierter Ressourcen. Verwenden Sie diese Referenz, nachdem Sie CSP aktiviert haben und bereit sind, Ihre Richtlinie zu konfigurieren oder zu validieren.


CSP-Direktivengruppen

CSP-Einstellungen in Document360 sind in vier Gruppen organisiert. Alle Felder akzeptieren kommagetrennte Domain-URLs im Format https://example.com.

Coderichtlinie

Diese Gruppe steuert die Quellen, aus denen Code- und Styling-Ressourcen geladen werden. Die Standard-Quellcode-Direktive fungiert als Rückfallback für jeden Ressourcentyp, der keine spezifischere Regel definiert hat.

Richtlinie Feldname Beschreibung
default-src Standardquelle Definiert Fallback-erlaubte Domänen für alle Ressourcentypen, die nicht von einer spezifischeren Direktive abgedeckt sind. Ein häufiger Anfangswert ist 'self', der alle nicht gelisteten Ressourcentypen auf die eigene Domäne beschränkt.
script-src Schriftquelle Spezifiziert, welche Domains JavaScript in deiner Wissensdatenbank bereitstellen dürfen. Nur Skripte aus den angegebenen Quellen werden vom Browser ausgeführt.
style-src Stilquelle Spezifiziert, welche Domains Stylesheets und CSS bereitstellen können. Verhindert, dass bösartige Stile injiziert werden.

Ressourcenkontrolle

Diese Gruppe kontrolliert, welche externen Domains Medien- und Datenressourcen wie Bilder, Schriftarten, API-Aufrufe und Hintergrundskripte bereitstellen dürfen.

Richtlinie Feldname Beschreibung
img-src Bildquelle Spezifiziert die Domains, die Bilder auf deiner Knowledge Base-Seite laden dürfen.
font-src Schriftart Quelle Spezifiziert die Domains, die Schriftdateien bereitstellen dürfen, die von Ihrer Knowledge Base verwendet werden.
connect-src Verbindungsquelle Spezifiziert die Domänen, mit denen Skripte bei API-Aufrufen oder Netzwerkanfragen verbunden werden können (z. B. Fetch, XHR, WebSocket).
worker-src Arbeiterquelle Spezifiziert die Domains, die Hintergrundarbeiter-Skripte laden dürfen, die von deiner Wissensdatenbank verwendet werden.

Einbettung und Sicherheit

Diese Gruppe steuert, wie Ihre Wissensdatenbank externe Inhalte einbettet und wie sie selbst auf anderen Websites eingebettet werden können. Es ist besonders wichtig, um Clickjacking-Angriffe zu verhindern und Inhalte von Drittanbietern wie Videos, Widgets und Portale zu verwalten.

Richtlinie Feldname Beschreibung
frame-src Frame-Quelle Spezifiziert die Domains, die als Frames oder iframes in deiner Knowledge Base eingebettet werden dürfen (z. B. YouTube, Vimeo).
frame-ancestors Frame-Vorfahren Spezifiziert, welche Domains deine Knowledge Base-Seiten in eigene Rahmen einbetten dürfen. Nutzen Sie dies, um unautorisierte Rahmeneinlage zu verhindern.
form-action Formwirkung Gibt die Domains an, an die Formulareinreichungen aus Ihrer Wissensdatenbank gesendet werden dürfen.
object-src Objektquelle Spezifiziert die Domains, die Plugin-Inhalte wie <object> oder <embed> Elemente laden dürfen. Stell dich auf 'none' Falls nicht erforderlich.

Berichterstattung

Die Reporting-Gruppe weist Browser an, Verstößmeldungen an einen bestimmten Endpunkt zu senden, wann immer eine Ressource durch Ihre Richtlinie blockiert wird. Dies ist unerlässlich, um Fehlkonfigurationen und potenzielle Angriffsversuche zu erkennen, ohne Ihre Seite zu stören.

Richtlinie Feldname Beschreibung
report-endpoint Endpunkt melden Gibt die URL an, an die Browser Berichte senden sollen, wenn Ressourcen von Ihrem CSP blockiert werden. Geben Sie eine oder mehrere kommagetrennte Berichtendpunkt-URLs ein.
report-to Bericht an Spezifiziert den vom Browser verwendeten Namen der Berichtsgruppe für CSP-Verstöße. Dies muss mit einer Berichtsgruppe übereinstimmen, die in der Berichtskonfiguration Ihrer Website definiert ist.
HINWEIS

Stellen Sie sicher, dass die in den Berichtsfeldern eingegebenen Endpunkt-URLs gültig und öffentlich zugänglich sind, bevor Sie speichern. Der Meldendepunkt muss POST-Anfragen annehmen und mit einem 2xx-Statuscode antworten.


Best Practices

  • Beginne mit einem restriktiven Standard – Setze Standardquelle auf 'self' Erst. Dies schafft eine sichere Basislinie, bei der nur Ressourcen aus deiner eigenen Domain erlaubt sind, es sei denn, ausdrücklich anderswo erlaubt. Füge spezifische Domänen in den Zielfeldern hinzu, anstatt die Standardquelle zu erweitern.

  • Verwenden Sie spezifische Direktiven statt breiter Zulassungslisten — Anstatt viele Domänen zur Standardquelle hinzuzufügen, verwenden Sie die Zielfelder: Script source, Frame source, Connect source und so weiter. Das macht die Police leichter zu führen und reduziert eine unbeabsichtigte Überbelastung.

  • Verwenden Sie Reporting vor der Durchsetzung – Konfigurieren Sie zuerst den Report-Endpunkt, damit Sie blockierte Ressourcen überwachen können, bevor die Richtlinie Ihre Leser betrifft. Überprüfen Sie Verstößmeldungen mehrere Tage oder Wochen lang, bevor Sie die Richtlinie verschärfen.

  • Verwenden Sie nonce für benutzerdefinierte Inline-Skripte – Verwenden Sie immer den Platzhalter {{Document360-Nonce}} in benutzerdefinierten HTML-Skriptabschnitten. Dadurch können vertrauenswürdige Inline-Skripte sicher ausgeführt werden, ohne 'unsafe-inline', was Ihre gesamte Skriptpolitik untergraben würde.


Wie Sie Ihre Inhaltssicherheitsrichtlinie testen

Nachdem Sie Ihre CSP-Einstellungen konfiguriert und gespeichert haben, überprüfen Sie, ob die Richtlinie mit einer der folgenden Methoden wie erwartet funktioniert.

Methode 1: Über Seitenquelle

  1. Öffnen Sie Ihre Knowledge Base-Seite in einem Browser.
  2. Rechtsklicke irgendwo auf der Seite und wähle Seite anzeigen.
  3. Drücken Sie Strg+F (Windows) oder Cmd+F (Mac) und suchen Sie nach Content-Security-Policy.
  4. Wenn sie gefunden wird, erscheint die vollständige CSP-Konfiguration neben diesem Term, was bestätigt, dass sie aktiv ist.

Methode 2: Über Browser-Entwicklertools

  1. Öffne die Entwicklertools deines Browsers (F12 oder Rechtsklick > Inspect).
  2. Navigiere zum Netzwerk-Reiter .
  3. Besuchen Sie Ihre Wissensdatenbank und wählen Sie eine beliebige Seitenanfrage aus.
  4. Überprüfen Sie das HTML der Seite auf das CSP-Metatag.

Methode 3: Über Online-Tools

Sie können auch externe Tools wie securityheaders.com verwenden, um die Sicherheitskonfiguration Ihrer Website zu analysieren. Da Document360 ein Meta-Element statt eines Response-Headers verwendet, melden einige Tools CSP auf Header-Ebene als fehlend – was zu erwarten ist.


Häufige Probleme

Das Video zeigt in einem Artikel als 'Dieser Inhalt ist blockiert', aber nicht in einem anderen

Die Domain, die das Video bedient, ist nicht in deiner Frame-Quellcode-Berechtigungsliste, oder die Domain unterscheidet sich zwischen den Einbettungstypen (zum Beispiel https://www.youtube.com bei Standard-Embeds vs. https://www.youtube-nocookie.com privatsphäreverstärkten Embeds). Füge beides zur Bildquelle hinzu.

Benutzerdefinierte Schriftart wird falsch angezeigt oder greift auf Systemschrift zurück

Schriftanbieter verwenden typischerweise zwei verschiedene Domänen – eine für das CSS-Stylesheet und eine für die eigentlichen Schriftdateien. Beide müssen aufgeführt werden. Für Google Fonts fügen Sie Style Source und https://fonts.gstatic.com Font Source hinzu.https://fonts.googleapis.com

Das Chat-Widget lädt, funktioniert aber nicht

Chat-Widgets laden oft Skripte, führen API-Aufrufe aus und laden Bilder aus mehreren Domänen. Überprüfen Sie die Browser-Konsole auf alle blockierten Anfragen – es könnten mehrere sein. Füge alle erforderlichen Domänen den entsprechenden Direktivenfeldern hinzu (Script source, Connect source, Image source).

Die Formularabgabe ist blockiert

Wenn ein Formular in Ihrer Wissensdatenbank einem externen Dienst zugewiesen wird, fügen Sie die Domäne dieses Dienstes dem Formularaktionsfeld hinzu.

Verstößmeldungen kommen nicht am Endpunkt der Meldung an

Überprüfen Sie, dass:

  • Die Endpunkt-URL ist öffentlich erreichbar (nicht hinter einem VPN oder einer Firewall).
  • Der Endpunkt akzeptiert POST-Anfragen und gibt eine 2xx-Antwort zurück.
  • Der Endpunkt unterstützt das Content-Type: application/csp-report Anfrageformat.
  • Wenn Sie die Report to Direktive verwenden, ist die benannte Reporting-Gruppe korrekt in Ihrer Infrastruktur konfiguriert.

Das CSP-Validierungstool meldet CSP als fehlend

Document360 implementiert CSP über ein Meta-Element im Seitencode, nicht über einen HTTP-Antwortheader. Tools, die nur Antwortheader überprüfen, melden CSP als fehlend. Um zu bestätigen, dass CSP aktiviert ist, sehen Sie sich die Seitenquelle an und suchen Sie nach Content-Security-Policy.

Unterschiede im Browser

Die meisten modernen Browser (Chrome, Firefox, Edge, Safari) unterstützen das CSP-Metaelement. Bekannte Unterschiede:

  • frame-ancestors wird in einigen älteren Browserversionen ignoriert, wenn sie über ein Meta-Element geliefert werden. Wenn der Schutz der Rahmeneinbettung kritisch ist, aktivieren Sie auch den X-Frame-Schutz.
  • Safari kann einige CSP-Direktiven anders behandeln als Chrome und Firefox. Teste deine Konfiguration in Safari, wenn deine Nutzer auf Apple-Geräten sind.
  • Sehr alte Browser (Internet Explorer 11 und später) unterstützen kein CSP. Wenn du IE11-Nutzer hast, wird CSP stillschweigend ignoriert.
HINWEIS

Private Knowledge Base-Projekte können nicht in iframes eingebettet werden. Authentifizierungscookies werden in iframes nicht korrekt gesetzt, was wiederholte Anmeldeversuche und Weiterleitungsfehler verursacht. Wenn Sie die Knowledge Base in einer anderen Anwendung einbetten müssen, verwenden Sie stattdessen ein Knowledge base widget .


FAQ

Was ist der Unterschied zwischen Frame-src und Frame-Ancestors?

Diese beiden Direktiven steuern entgegengesetzte Einbettungsrichtungen. frame-src steuert, welche externen Domänen deine Wissensdatenbank einbetten darf (zum Beispiel ein YouTube-Video in einem Artikel). frame-ancestors steuert , welche externen Domänen deine Wissensdatenbank in ihre eigenen Seiten einbetten dürfen.

Wie nutze ich die Berichtsrichtlinien?

Geben Sie die URL Ihres Berichtsendpunkts im Feld "Meldenpunkt " ein. Wenn ein Browser eine Ressource blockiert, sendet er einen JSON-Bericht an diese URL. Report to funktioniert parallel zum Endpunkt Report und spezifiziert eine benannte Berichtsgruppe, die in der Berichtsinfrastruktur Ihres Standorts vorkonfiguriert ist – nützlich für Unternehmenseinrichtungen mit zentraler Sicherheitsüberwachung.

Was sollte ich im Feld Standardquelle hinzufügen?

Beginne mit 'self', was alle nicht gelisteten Ressourcentypen auf deine eigene Domain beschränkt. Dann füge spezifische Domänen in die gezielteren Felder hinzu (Skriptquelle, Bildquelle usw.), anstatt die Standardquelle zu erweitern. Eine restriktive Standardquelle mit granularen Ausnahmen ist sicherer und leichter zu prüfen.

Was ist ein CSP-Verstoßbericht und wie sieht er aus?

Wenn ein Browser eine Ressource blockiert, sendet er eine JSON-Payload an Ihren Report-Endpunkt. Ein typischer Bericht sieht so aus:

{
  "csp-report": {
    "document-uri": "https://docs.yourcompany.com/article",
    "violated-directive": "script-src 'self'",
    "blocked-uri": "https://cdn.example.com/widget.js",
    "original-policy": "default-src 'self'; script-src 'self'"
  }
}

Das Feld blocked-uri zeigt dir genau die Domain an, die du deiner Zulassungsliste hinzufügen sollst. Das Feld violated-directive zeigt dir in den Document360-Einstellungen an, welches Direktivenfeld aktualisiert werden soll.