Haftungsausschluss: Dieser Artikel wurde durch maschinelle Übersetzung erstellt.

Richtlinie zur Inhaltssicherheit

  • Aktualisiert am Dec 6, 2024
  • 3 Gelesene Minute(n)
  • Pradeep Srinivasan
  • Manoharan Soundarraj
 Prev Next

Pläne zur Unterstützung der Inhaltssicherheitsrichtlinie auf der Wissensdatenbank-Website

Professionell
Geschäft
Unternehmen






Content Security Policy (CSP) ist eine sicherheitsrelevante Funktion, mit der Sie externe CSS, Skripte und Frames, die in Ihre Wissensdatenbank eingebettet sind, verwalten und verhindern können. Wenn die Inhaltssicherheitsrichtlinie im Projekt aktiviert ist, wird der Content-Security-Policy Antwortheader dem Anforderungsheader mit den standardmäßig zulässigen Domänen für jede Quelle hinzugefügt. Es schränkt das Laden von Ressourcen aus externen Domänen ein und lässt nur Ressourcen aus der konfigurierten Liste von Domänen für jede Quelle zu.

Aktivieren der Inhaltssicherheitsrichtlinie

image.png

  1. Navigieren Sie im Wissensdatenbank-Portal zu Einstellungen () > Benutzer & Sicherheit > Sicherheit .

  2. Aktivieren Sie den Schalter Content Security-Richtlinie aktivieren .

  3. Sie finden die folgenden Quellfelder:
    a. Quelle des Stils
    b. Quelle des Skripts
    c. Frame-Quelle.

  4. Geben Sie die gewünschten Domain-URLs in die entsprechenden Felder ein.

  5. Klicken Sie auf Speichern.

ANMERKUNG

  • Die Zeichenbeschränkung für jedes Limit beträgt 5000.

  • Verwenden Sie Kommas (,), um die URLs zu trennen.

  • Behalten Sie die URLs im folgenden Format bei: https://example.com.

ein. Quelle des Stils

Im Feld Formatvorlagenquelle können Sie die gültigen Quellen von Stylesheets definieren, die auf Ihre Wissensdatenbank angewendet werden können. Durch die Konfiguration der Stilquellen wird verhindert, dass bösartige Stile zum Ausführen von Cross-Site Scripting (XSS)-Angriffen auf Ihre Wissensdatenbank verwendet werden.

  • Geben Sie die Domänen-URLs der Stylesheet-Quellen in dieses Feld ein.

  • Alle Stylesheets von anderen URLs werden eingeschränkt.

ANMERKUNG

Stellen Sie sicher, dass Sie in allen benutzerdefinierten HTML-Skriptabschnitten einen Platzhalter für Nonce-Attribute hinzugefügt haben.

Beispiel: <Script nonce='{{Document360-Nonce}}'>

b. Quelle des Skripts

Im Feld Skriptquelle können Sie die gültigen Quellen von JavaScript-Codes definieren, die in Ihrer Wissensdatenbank ausgeführt werden können. Auf diese Weise wird verhindert, dass bösartiger JavaScript-Code ausgeführt wird, selbst wenn er von einem Angreifer in die Wissensdatenbank eingeschleust wurde.

  • Geben Sie die Domain-URLs der Javascript-Quellen in dieses Feld ein.

  • Alle JavaScript-Codes von anderen URLs werden eingeschränkt.

c. Frame-Quelle

Im Feld Frame-Quelle können Sie die gültigen Quellen von Frame-Elementen wie <frame> und <iframe> definieren, die in Ihre Wissensdatenbank eingebettet werden können.

  • Geben Sie die Domänen-URLs der Frame-Quellen in dieses Feld ein.

  • Alle Frames von anderen URLs werden eingeschränkt.

Testen der Einstellungen der Inhaltssicherheitsrichtlinie

Nachdem Sie Ihren CSP eingerichtet haben, ist es wichtig zu überprüfen, ob die Einstellungen wie erwartet funktionieren. So überprüfen Sie, ob die Inhaltssicherheitsrichtlinie korrekt angewendet wurde:

  1. Öffnen Sie die Registerkarte "Netzwerk" in den Entwicklertools Ihres Browsers.

  2. Besuchen Sie Ihre Wissensdatenbank, und überprüfen Sie die Antwortheader für den CSP.

  3. Alternativ können Sie Online-Tools wie securityheaders.com verwenden, um zu überprüfen, ob auf Ihrer Website die richtigen Content-Security-Policy-Header festgelegt sind.

Häufig gestellte Fragen

Warum wird mein Video in einem Artikel als "Dieser Inhalt ist blockiert" angezeigt, in einem anderen jedoch nicht?

Dieses Problem tritt in der Regel aufgrund von CSP-Einstellungen (Content Security Policy) in Document360 auf. Das Video ist möglicherweise von den aktuellen CSP-Einstellungen nicht zugelassen. Unterschiedliche Artikel können unterschiedliche CSP-Einstellungen aufweisen. Stellen Sie sicher, dass die Videoquelle in den CSP-Einstellungen für alle Artikel zugelassen ist, in denen das Video angezeigt werden muss.

Wie kann ich das Problem eines blockierten Videos in meinem Artikel beheben?

Um dies zu beheben, navigieren Sie zu Einstellungen > Benutzer & Sicherheit > Sicherheit. Fügen Sie im Abschnitt Inhaltssicherheitsrichtlinie aktivieren die Videoquelle (z. B. https://www.youtube.com/) zur Liste "Frame-Quelle" hinzu und klicken Sie auf Speichern.

Warum zeigt meine CSP-Überprüfung an, dass CSP im Antwortheader fehlt?

In Document360 wird die Content Security Policy (CSP) mithilfe von Metaelementen anstelle des Antwortheaders implementiert. Wenn Sie CSP überprüfen, indem Sie den Antwortheader überprüfen, wird es so angezeigt, als ob CSP fehlt oder deaktiviert ist.

Gehen Sie folgendermaßen vor, um zu bestätigen, dass CSP auf Ihrer Wissensdatenbankwebsite aktiviert ist:

  1. Öffnen Sie Ihre Wissensdatenbank-Site in einem Browser.

  2. Klicken Sie mit der rechten Maustaste auf eine beliebige Stelle auf der Webseite, und wählen Sie Seitenquelle anzeigen aus.

    Der Quellcode der Seite wird angezeigt.

  3. Verwenden Sie die Suchfunktion (Strg + F unter Windows oder Cmd + F unter Mac) und suchen Sie nach dem Begriff "Content-Security-Policy".

  4. Wenn der Begriff "Content-Security-Policy" gefunden wird, wird die CSP-Konfiguration als der Code angezeigt, der auf diesen Begriff folgt.

Indem Sie die Validierung über das meta-Element in der Seitenquelle durchführen, können Sie bestätigen, dass CSP für Ihre Wissensdatenbank-Website aktiviert ist.

Verwandte Artikel