Inhaltssicherheitsrichtlinie

Pläne, die diese Funktion unterstützen: Enterprise

Content Security Policy (CSP) ist eine sicherheitsbezogene Funktion, die hilft, externe CSS, Skripte und Frames in Ihrer Wissensdatenbank zu verwalten und zu verhindern. Wenn die Inhaltssicherheitsrichtlinie im Projekt aktiviert ist, wird der Content-Security-Policy Response-Header dem Request-Header mit den standardmäßig erlaubten Domains für jede Quelle hinzugefügt. Es beschränkt die Ressourcenbelastung aus externen Domänen und erlaubt Ressourcen nur aus der konfigurierten Liste der Domänen für jede Quelle.

Aktivieren Sie die Inhaltssicherheitsrichtlinie

Settings page showing content security policy configuration options and related instructions.

Mit der Maus über Einstellungen () in der linken Navigationsleiste im Knowledge base portal.
Im Untermenü wählen Sie Wissensdatenbank-Website und navigieren Sie zu Sicherheit.
Aktivieren Sie den Schalter "Inhaltssicherheit aktivieren ".
Sie finden die folgenden Quellfelder:
a. Stilquelle
b. Schriftquelle
c. Rahmenquelle.
Geben Sie die gewünschten Domain-URLs in die jeweiligen Felder ein.
Klicken Sie auf Speichern.

HINWEIS
Das Zeichenlimit für jedes Limit beträgt 5000.
Verwenden Sie Kommas (,), um die URLs zu trennen.
Behalten Sie die URLs im folgenden Format: https://example.com.

ein. Stilquelle

Im Feld Style-Quellcode können Sie die gültigen Quellen von Stylesheets definieren, die auf Ihre Wissensdatenbank angewendet werden können. Die Konfiguration der Stilquellen verhindert, dass bösartige Stile verwendet werden, um Cross-Site Scripting (XSS)-Angriffe auf Ihre Wissensdatenbank auszuführen.

Gib in diesem Feld die Domain-URLs der Stylesheet-Quellen ein.
Alle Stylesheets anderer URLs werden eingeschränkt.

HINWEIS
Stellen Sie sicher, dass Sie in allen benutzerdefinierten HTML-Skriptabschnitten einen Nonce-Attribut-Platzhalter hinzugefügt haben.
Beispiel: <Script nonce='{{Document360-Nonce}}'>

b. Schriftquelle

Im Feld Skriptquellen können Sie die gültigen Quellen von JavaScript-Codes definieren, die auf Ihrer Wissensdatenbank ausgeführt werden können. Dies hilft zu verhindern, dass bösartiger JavaScript-Code ausgeführt wird, selbst wenn dieser von einem Angreifer in die Wissensdatenbank eingeschleust wurde.

Geben Sie die Domain-URLs der Javascript-Quellen in dieses Feld ein.
Alle JavaScript-Codes anderer URLs sind eingeschränkt.

c. Rahmenquelle

Im Feld Frame-Quellen kannst du die gültigen Quellen von Frame-Elementen definieren, die <frame> <iframe> in deine Wissensdatenbank eingebettet werden können.

Geben Sie in diesem Feld die Domain-URLs der Frame-Quellen ein.
Alle Frames anderer URLs werden eingeschränkt.

Testen Ihrer Einstellungen zur Inhaltssicherheitsrichtlinie

Nach der Einrichtung deines CSP ist es wichtig zu überprüfen, ob die Einstellungen wie erwartet funktionieren. Um zu überprüfen, ob die Inhaltssicherheitsrichtlinie korrekt angewendet wurde:

Öffnen Sie den Reiter Netzwerk in den Entwicklertools Ihres Browsers.
Besuchen Sie Ihre Wissensdatenbank und sehen Sie sich die Antwortüberschriften für das CSP an.
Alternativ können Sie Online-Tools wie securityheaders.com nutzen, um zu überprüfen, ob Ihre Website die richtigen Content-Security-Policy-Header hat.

FAQs

Warum wird mein Video in einem Artikel als "Dieser Inhalt ist blockiert" angezeigt, aber nicht in einem anderen?

Dieses Problem tritt typischerweise aufgrund der Content Security Policy (CSP)-Einstellungen in Document360 auf. Das Video ist möglicherweise durch die aktuellen CSP-Einstellungen nicht erlaubt. Verschiedene Artikel können unterschiedliche CSP-Einstellungen haben. Stellen Sie sicher, dass die Videoquelle in den CSP-Einstellungen für alle Artikel erlaubt ist, in denen das Video angezeigt werden muss.

Wie kann ich das Problem eines blockierten Videos in meinem Artikel lösen?

Um das zu beheben,

Mit der Maus über Einstellungen () in der linken Navigationsleiste im Knowledge base portal.
Im Untermenü wählen Sie Wissensdatenbank-Website und navigieren Sie zu Sicherheit.
Unter dem Abschnitt "Inhaltssicherheitsrichtlinie aktivieren " fügen Sie die Videoquelle (z. B. https://www.youtube.com/) in die Liste "Bildauskunft" hinzu und klicken Sie auf Speichern.

Warum zeigt meine CSP-Validierung an, dass CSP im Antwortheader fehlt?

In Document360 wird die Content Security Policy (CSP) mithilfe von Meta-Elementen anstelle des Response-Headers implementiert. Wenn du CSP validierst, indem du den Response-Header inspizierst, sieht es so aus, als ob CSP fehlt oder inaktiv ist.

Um zu bestätigen, dass CSP auf Ihrer Knowledge Base-Seite aktiviert ist, folgen Sie diesen Schritten:

Öffnen Sie Ihre Knowledge Base-Seite in einem Browser.
Rechtsklick irgendwo auf der Webseite mit der rechten Maustaste und wähle ' Seite Quelle' anzeigen.
Der Quellcode der Seite wird angezeigt.
Verwenden Sie die Suchfunktion (Strg + F unter Windows oder Cmd + F auf Mac) und suchen Sie nach dem Begriff "Content-Security-Policy".
Wenn der Begriff "Content-Security-Policy" gefunden wird, erscheint die CSP-Konfiguration als Code nach diesem Begriff.

Indem Sie das Meta-Element in der Seitenquelle validieren, können Sie bestätigen, dass CSP für Ihre Knowledge Base-Seite aktiviert ist.

Kann ich erlauben, dass bestimmte Domänen meine Wissensdatenbank einbetten?

Ja, Sie können die erlaubten Domains in der Frame Source of Content Security Policy Einstellung angeben.

Kann ich ein privates Projekt in einem iframe hinzufügen?

Nein, private Projekte können nicht in einem iframe eingebettet werden.

Authentifizierungscookies werden in iframes nicht korrekt gesetzt, was zu wiederholten Anmeldeversuchen und Weiterleitungsfehlern führt. Aus Sicherheitsgründen können die Cookie-Einstellungen nicht gelockert werden.

Verwende stattdessen ein Knowledge Base-Widget , wenn du die Knowledge Base in einer anderen Anwendung einbetten musst.