Documentation Index

Fetch the complete documentation index at: https://docs.document360.com/llms.txt

Use this file to discover all available pages before exploring further.

Haftungsausschluss: Dieser Artikel wurde durch maschinelle Übersetzung erstellt.

Inhaltssicherheitsrichtlinie

Prev Next

Content Security Policy (CSP) ist ein vom Browser durchgesetzter Sicherheitsmechanismus, der steuert, welche externen Ressourcen – Skripte, Stile, Bilder, Schriftarten und Frames – auf deiner Knowledge base site. Wenn in Document360 aktiviert, ist eine CSP-Direktive in die Seitenquelle Ihrer Seite eingebettet, die das Ressourcenladen auf die explizit konfigurierten Domains beschränkt. Dies schützt Ihre Wissensdatenbank vor häufigen Web-Schwachstellen wie Cross-Site Scripting (XSS), Clickjacking und Dateninjektionsangriffen.


Wann Inhaltssicherheitsrichtlinie verwendet werden sollte

Aktivieren Sie CSP, wenn eines der folgenden Punkte auf Ihre Wissensdatenbank zutrifft:

  • Ihre Website bettet Inhalte von Drittanbietern ein, wie Videos, Chat-Widgets oder Analysetools.
  • Deine Artikel oder dein Thema enthalten benutzerdefinierte HTML-Abschnitte mit Inline-Skripten.

Wie CSP in Document360 funktioniert

Document360 implementiert CSP über ein <meta http-equiv="Content-Security-Policy"> Tag, das in der Quellseite Ihrer Seite eingebettet ist, anstatt über einen HTTP-Response-Header.

Das bedeutet:

  • Alle CSP-Regeln werden auf Seitenebene über das Meta-Tag angewendet.
  • Wenn Sie den HTTP-Antwort-Header inspizieren, scheint CSP zu fehlen – das ist erwartetes Verhalten.
  • Um zu bestätigen, dass CSP aktiv ist, klicken Sie mit der rechten Maustaste auf Ihre Knowledge Base-Seite, wählen Sie 'Seite Quelle' anzeigen und suchen Sie nach Content-Security-Policy.
HINWEIS

HTTP-Antwortheader erfordern eine serverseitige Konfiguration. Document360 verwendet ein Meta-Element, sodass du CSP komplett aus der Settings UI konfigurieren kannst, ohne dass die Infrastruktur geändert wird. Der Sicherheitsschutz ist für die überwiegende Mehrheit der Direktiven gleichwertig, mit Ausnahme von frame-ancestors, der in einigen Browsern nur über HTTP-Header unterstützt wird. Document360 übernimmt das automatisch.


Bevor du anfängst

Nur Projektinhaber, Administratoren oder Benutzer mit Zugriff auf Sicherheitseinstellungen können die Content Security Policy konfigurieren.


Wie man die Content Security Policy aktiviert

  1. Navigiere zu Einstellungen () > Knowledge base site > Security.
  2. Aktivieren Sie die Inhaltssicherheitsrichtlinie.
  3. Konfigurieren Sie die erforderlichen Direktivengruppen:
    • Coderichtlinie
    • Ressourcenkontrolle
    • Einbettung und Sicherheit
    • Berichterstattung
  4. Klicken Sie auf Speichern.

Settings page for configuring Content Security Policy in a Document360 Knowledge Base.

HINWEIS

Wenn CSP aktiviert ist, stellen Sie sicher, dass der Nonce-Attribut-Platzhalter allen benutzerdefinierten HTML-Skriptabschnitten hinzugefügt wird. Beispiel:

<script nonce="{{Document360-Nonce}}">
HINWEIS
  • Das Zeichenlimit für jedes Feld beträgt 5000.
  • Verwenden Sie Kommas (,), um mehrere Domänen zu trennen.
  • Behalten Sie die URLs im folgenden Format: https://example.com
  • Bestehende CSP-Konfigurationen bleiben erhalten, wenn CSP aus- und ausgeschaltet wird.

X-Frame-Schutz

Die X-Frame-Schutzoption ist zusammen mit den CSP-Einstellungen auf der Sicherheitsseite verfügbar. Wenn aktiviert, fügt es deinen Knowledge Base-Seiten einen X-Frame-Options: SAMEORIGIN Response-Header hinzu, der verhindert, dass sie in einem iframe auf einer externen Domain geladen werden.

Das ist eine einfachere, direktere Kontrolle als frame-ancestors – sie erlaubt es nicht, bestimmte vertrauenswürdige Domains zuzulassen.

X-Frame-Schutz Rahmenvorfahren (CSP)
Blockiert alle externen Framings (nur SAMEORIGIN) Ermöglicht es Ihnen, eine Liste vertrauenswürdiger Domains anzugeben
Bereitgestellt über den HTTP-Antwortheader Geliefert über Meta-Element in der Seitenquelle
Einfacher zu konfigurieren – ein Schalter Flexibler – präzise Kontrolle pro Domäne
Keine Ausnahmen erlaubt Ausnahmen können explizit aufgeführt werden
HINWEIS
  • X-Frame-Options und die frame-ancestors CSP-Direktive steuern beide das Verhalten der Rahmeneinbettung. Wenn du beide konfigurierst, stelle sicher, dass sie konsistent sind, um widersprüchliche Regeln zu vermeiden. Zum Beispiel sollte man X-Frame Protection nicht aktivieren und gleichzeitig eine externe Domain frame-ancestors hinzufügen – der X-Frame-Header überschreibt die CSP-Direktive in Browsern, die beide unterstützen.
  • Document360 verwendet außerdem den X-Content-Type-Options: nosniff Sicherheitsheader über alle Ressourcen der Knowledge Base, um zu verhindern, dass Browser MIME-typische Dateien mit falschen Inhaltstypen sniffen und interpretieren.

Anwendungsfälle

Eingebettete Videos

Wenn Ihre Artikel Videos von YouTube oder Vimeo enthalten, verwenden Sie die Frame-Quellcode-Direktive, um nur diese vertrauenswürdigen Domains zuzulassen.

  • Zur Bildquelle hinzufügen: https://www.youtube.com, https://player.vimeo.com
  • Dies stellt sicher, dass eingebettete Medien korrekt geladen werden, während unautorisierte iFrame-Inhalte blockiert werden.

Drittanbieter-Analyse- und Feedback-Tools

Wenn Ihre Knowledge Base Google Analytics, Mixpanel oder ein Feedback-Widget verwendet, fügen Sie deren Skript- und Datensammlungsdomänen zu Script Source und Connect Source hinzu.

  • Beispiel zur Skriptquelle: https://www.google-analytics.com, https://cdn.mixpanel.com
  • Beispiel für Connect-Quelle: https://api.mixpanel.com

Live-Chat-Widgets

Chat-Widgets wie Intercom oder Zendesk benötigen typischerweise Berechtigungen über mehrere Direktiven, weil sie Skripte laden, API-Aufrufe durchführen und ihre eigene Benutzeroberfläche bereitstellen.

  • Schriftquelle: https://widget.intercom.io, https://js.intercomcdn.com
  • Verbindungsquelle: https://api.intercom.io, https://nexus-websocket-a.intercom.io
  • Bildquelle: https://static.intercomassets.com

Benutzerdefinierte Schriftarten

Google Fonts und Adobe Typekit laden aus zwei verschiedenen Domänen – eine für das Stylesheet und eine für die eigentlichen Schriftdateien. Beide müssen aufgeführt werden.

  • Stilquelle: https://fonts.googleapis.com
  • Schriftartquelle: https://fonts.gstatic.com

Integrieren Sie Ihre Wissensdatenbank in ein Kundenportal

Wenn Sie Ihre Knowledge Base in einem iframe in Ihrem eigenen Produkt oder Ihrer SaaS-Anwendung anzeigen müssen, verwenden Sie die Frame Ancestors-Direktive, um diese spezielle Domäne zu erlauben.

  • Beispiel für Frame-Vorfahren: https://app.yourcompany.com
  • Frame-Vorfahren so einzustellen, dass 'none' sie alle äußeren Rahmungen blockieren. Ändere das nur, wenn du eine legitime Einbettungsanforderung hast.

Benutzerdefiniertes HTML und Inline-Skripte

Wenn deine Artikel oder dein Thema benutzerdefinierte HTML-Abschnitte mit Inline-Tags <script> enthalten, werden diese Skripte von einem strengen CSP blockiert, es sei denn, sie enthalten ein Nonce-Attribut. Verwenden Sie den Document360-Nonce-Platzhalter:

<script nonce="{{Document360-Nonce}}">

  // Your custom inline script

</script>

Der Platzhalter {{Document360-Nonce}} wird zur Renderzeit durch einen eindeutigen Wert pro Anfrage ersetzt, der mit dem im CSP angegebenen Nonce übereinstimmt. Dadurch kann das vertrauenswürdige Inline-Skript ausgeführt werden, ohne Ihre Police mit 'unsafe-inline'zu schwächen.

Compliance- und sicherheitsgefestigte Umgebungen

Teams, die unter Rahmenwerken wie SOC 2, ISO 27001 oder HIPAA arbeiten, benötigen häufig eine dokumentierte Ressourcenbelastungspolitik. CSP bietet eine maschinell durchgesetzte Version dieser Richtlinie. Die Berichtsrichtlinien bieten Ihnen außerdem eine Prüfspur bei versuchten Richtlinienverstößen.


FAQ

Warum sagt mein CSP-Validierungstool, dass CSP im Antwortheader fehlt?

Document360 implementiert CSP über ein Meta-Element im Seitencode, nicht über einen HTTP-Antwortheader. Tools, die nur Antwortheader prüfen, melden daher CSP als fehlend. Um zu bestätigen, dass CSP aktiviert ist, klicken Sie mit der rechten Maustaste auf Ihre Knowledge Base-Seite, wählen Sie Seite quelle anzeigen und suchen Sie nach "Content-Security-Policy". Wenn der Begriff vorkommt, ist CSP aktiv.

Kann ich erlauben, dass bestimmte Domänen meine Wissensdatenbank einbetten?

Ja. Verwenden Sie die Frame Ancestors-Direktive unter der Embedding & Security Gruppe, um anzugeben, welche externen Domains Ihre Knowledge Base-Seiten in eigene Frames einbetten dürfen.

Was passiert, wenn ich CSP nach der vorherigen Konfiguration deaktiviere?

Das Deaktivieren des Schalters für Inhaltssicherheitsrichtlinien entfernt die CSP-Durchsetzung von Ihrer Knowledge Base-Website. Deine gespeicherten Direktivenkonfigurationen bleiben jedoch erhalten und werden erneut angewendet, wenn du CSP wieder aktivierst. Beim Ausschalten der Funktion gehen keine Konfigurationsdaten verloren.