Documentation Index

Fetch the complete documentation index at: https://docs.document360.com/llms.txt

Use this file to discover all available pages before exploring further.

Disclaimer: Dit artikel is gegenereerd door automatische vertaling.

Inhoudsbeveiligingsbeleid

Prev Next

Content Security Policy (CSP) is een door de browser afgedwongen beveiligingsmechanisme dat bepaalt welke externe bronnen — scripts, stijlen, afbeeldingen, lettertypen en frames — op uw Knowledge base site. Wanneer ingeschakeld in Document360, is een CSP-richtlijn ingebed in de paginabron van je site, waardoor het laden van resources beperkt blijft tot alleen de domeinen die je expliciet configureert. Dit beschermt je kennisbank tegen veelvoorkomende webkwetsbaarheden zoals Cross-Site Scripting (XSS), clickjacking en data-injectieaanvallen.


Wanneer te gebruiken van Content Security Policy

Schakel CSP in wanneer een van de volgende zaken van toepassing is op je kennisbasis:

  • Je site bevat content van derden, zoals video's, chatwidgets of analysetools.
  • Je artikelen of thema bevatten aangepaste HTML-secties met inline scripts.

Hoe CSP werkt in Document360

Document360 implementeert CSP via een <meta http-equiv="Content-Security-Policy"> tag die is ingebed in de broncode van je sitepagina, in plaats van via een HTTP-antwoordheader.

Dit betekent:

  • Alle CSP-regels worden op paginaniveau toegepast via de metatag.
  • Als je de HTTP-responsheader inspecteert, lijkt CSP afwezig — dit is verwacht gedrag.
  • Om te bevestigen dat CSP actief is, klik je met de rechtermuisknop op je Knowledge Base-site, selecteer je pagina bron weergeven en zoek je naar Content-Security-Policy.
OPMERKING

HTTP-responsheaders vereisen server-side configuratie. Document360 gebruikt een meta-element zodat je CSP volledig vanuit de Settings UI kunt configureren zonder enige infrastructurele wijzigingen. De beveiligingsbescherming is gelijkwaardig voor de overgrote meerderheid van de richtlijnen, met uitzondering van frame-ancestors, die alleen via HTTP-headers in sommige browsers wordt ondersteund. Document360 regelt dit automatisch.


Voordat je begint

Alleen projecteigenaren, beheerders of gebruikers met toegang tot beveiligingsinstellingen kunnen Content Security Policy configureren.


Hoe Content Security Policy in te schakelen

  1. Ga naar Instellingen () > Knowledge base site > Security.
  2. Schakel het inhoudsbeveiligingsbeleid in.
  3. Configureer de vereiste directiegroepen:
    • Codebeleid
    • Resource control
    • Embedding & Beveiliging
    • Verslaggeving
  4. Klik op Opslaan.

Settings page for configuring Content Security Policy in a Document360 Knowledge Base.

OPMERKING

Wanneer CSP is ingeschakeld, zorg er dan voor dat de tijdelijke placeholder van het nonce-attribuut aan alle aangepaste HTML-scriptsecties is toegevoegd. Voorbeeld:

<script nonce="{{Document360-Nonce}}">
OPMERKING
  • De tekenlimiet voor elk veld is 5000.
  • Gebruik komma's (,) om meerdere domeinen te scheiden.
  • Houd URL's in het volgende formaat: https://example.com
  • Bestaande CSP-configuraties blijven behouden bij het aan- en uitzetten van CSP.

X-Frame-bescherming

De X-Frame beschermingsoptie is beschikbaar naast CSP-instellingen op de beveiligingspagina. Wanneer ingeschakeld, voegt het een X-Frame-Options: SAMEORIGIN responsheader toe aan je Knowledge Base-pagina's, waardoor ze niet in een iframe op een extern domein worden geladen.

Dit is een eenvoudigere, directere controle dan frame-ancestors — het staat je niet toe om specifieke vertrouwde domeinen toe te staan.

X-Frame-bescherming Frame-voorouders (CSP)
Blokkeert alle externe framing (alleen SAMEORIGIN) Hiermee kun je een lijst van vertrouwde domeinen specificeren
Geleverd via HTTP-responsheader Geleverd via een meta-element in de paginabron
Eenvoudiger te configureren — één schakelaar Flexibeler — precieze controle per domein
Geen uitzonderingen toegestaan Uitzonderingen kunnen expliciet worden vermeld
OPMERKING
  • X-Frame-Options en de frame-ancestors CSP-richtlijn regelen beide het gedrag van frame embedding. Als je beide configureert, zorg dan dat ze consistent zijn om conflicterende regels te voorkomen. Schakel bijvoorbeeld X-Frame Protection niet in terwijl je ook een extern domein toevoegt — frame-ancestors de X-Frame-header zal de CSP-richtlijn overschrijven in browsers die beide ondersteunen.
  • Document360 past ook de X-Content-Type-Options: nosniff beveiligingsheader toe over de Knowledge Base-bronnen om te voorkomen dat browsers bestanden met verkeerde inhoudstypen in MIME-typen snuffelen en interpreteren.

Gebruikssituaties

Ingebedde video's

Als je artikelen video's van YouTube of Vimeo bevatten, gebruik dan de Frame source-richtlijn om alleen die vertrouwde domeinen toe te staan.

  • Voeg toe aan Frame bron: https://www.youtube.com, https://player.vimeo.com
  • Dit zorgt ervoor dat embedded media correct geladen worden terwijl ongeautoriseerde iframe-inhoud wordt geblokkeerd.

Externe analysetools en feedbacktools

Als je kennisbank Google Analytics, Mixpanel of een feedbackwidget gebruikt, voeg dan hun script- en dataverzamelingsdomeinen toe aan Script source en Connect source.

  • Voorbeeld van scriptbron: https://www.google-analytics.com, https://cdn.mixpanel.com
  • Voorbeeld van bron: https://api.mixpanel.com

Live chat-widgets

Chatwidgets zoals Intercom of Zendesk hebben meestal permissies nodig over meerdere directives omdat ze scripts laden, API-aanroepen uitvoeren en hun eigen UI bedienen.

  • Scriptbron: https://widget.intercom.io, https://js.intercomcdn.com
  • Verbind bron: https://api.intercom.io, https://nexus-websocket-a.intercom.io
  • Beeldbron: https://static.intercomassets.com

Aangepaste lettertypen

Google Fonts en Adobe Typekit laden vanuit twee verschillende domeinen — één voor het stylesheet en één voor de daadwerkelijke lettertypebestanden. Beide moeten worden vermeld.

  • Stijlbron: https://fonts.googleapis.com
  • Font bron: https://fonts.gstatic.com

Integreer je kennisbank in een klantportaal

Als je je kennisbank binnen een iframe binnen je eigen product of SaaS-applicatie moet weergeven, gebruik dan de Frame-voorloperrichtlijn om dat specifieke domein toe te staan.

  • Voorbeeld van frame-voorouders: https://app.yourcompany.com
  • Het instellen van Frame-voorouders om 'none' alle externe framing te blokkeren. Verander dit alleen als je een legitieme embedding-vereiste hebt.

Aangepaste HTML en inline scripts

Als je artikelen of thema aangepaste HTML-secties met inline <script> tags bevatten, worden die scripts geblokkeerd door een strikte CSP, tenzij ze een nonce-attribuut bevatten. Gebruik de Document360 nonce-tijdelijke plaatsvervanger:

<script nonce="{{Document360-Nonce}}">

  // Your custom inline script

</script>

De {{Document360-Nonce}} tijdelijke aanduiding wordt bij rendertijd vervangen door een unieke waarde per verzoek die overeenkomt met de nonce die in de CSP wordt vermeld. Dit maakt het mogelijk om het vertrouwde inline script te draaien zonder je polis te verzwakken met 'unsafe-inline'.

Compliance- en beveiligingsgeharde omgevingen

Teams die werken onder frameworks zoals SOC 2, ISO 27001 of HIPAA vereisen vaak een gedocumenteerd resource-loading beleid. CSP biedt een machine-geforceerde versie van dat beleid. De rapportagerichtlijnen geven je bovendien een auditspoor van eventuele pogingen tot beleidsovertredingen.


FAQ

Waarom zegt mijn CSP-validatietool dat CSP ontbreekt in de responsheader?

Document360 implementeert CSP via een meta-element in de paginabron, niet via een HTTP-responsheader. Tools die alleen responsheaders controleren, zullen CSP daarom als ontbrekend rapporteren. Om te bevestigen dat CSP is ingeschakeld, klik je met de rechtermuisknop op je Knowledge Base-site, selecteer je pagina bron bekijken en zoek je op "Content-Security-Policy". Als de term voorkomt, is CSP actief.

Kan ik specifieke domeinen toestaan om mijn kennisbank in te betten?

Ja. Gebruik de Frame ancestors-richtlijn onder de Embedding & Security groep om aan te geven welke externe domeinen je Knowledge Base-pagina's in hun eigen frames mogen inbedden.

Wat gebeurt er als ik CSP uitschakel nadat ik het eerder heb geconfigureerd?

Het uitschakelen van de Contentbeveiligingsbeleid-schakelaar verwijdert de handhaving van CSP van je Knowledge Base-site. Je opgeslagen directive-configuraties blijven echter behouden en worden opnieuw toegepast als je CSP opnieuw inschakelt. Er gaat geen configuratiegegevens verloren bij het uitschakelen van de functie.