Disclaimer: Dit artikel is gegenereerd door automatische vertaling.

Inhoudsbeveiligingsbeleid

Update
  • Bijgewerkt op Jan 31, 2026
  • Gepubliceerd op Nov 4, 2024
  • 3 Gelezen minuut(en)
Prev Next

Abonnementen die deze functie ondersteunen: Enterprise

Content Security Policy (CSP) is een beveiligingsgerelateerde functie die helpt bij het beheren en voorkomen van externe CSS, scripts en frames die in je kennisbank zijn ingebed. Wanneer het contentbeveiligingsbeleid in het project is ingeschakeld, wordt de Content-Security-Policy responsheader toegevoegd aan de requestheader met de standaard toegestane domeinen voor elke bron. Het beperkt het laden van externe domeinen en staat alleen resources toe uit de geconfigureerde lijst van domeinen per bron.

Schakel het inhoudsbeveiligingsbeleid in

Settings page showing content security policy configuration options and related instructions.

  1. Beweeg de muis op Instellingen () in de linker navigatiebalk in het Knowledge base portal.

  2. Selecteer in het submenu Kennisbanksite en navigeer naar Beveiliging.

  3. Zet het schakelaartje 'Content Security Policy inschakelen ' aan.

  4. Je kunt de volgende bronvelden vinden:
    a. Stijlbron
    b. Scriptbron
    c. Framebron.

  5. Typ de gewenste domein-URL's in de respectievelijke velden.

  6. Klik op Opslaan.

OPMERKING

  • De tekenlimiet voor elke limiet is 5000.

  • Gebruik komma's (,) om de URL's te scheiden.

  • Houd de URL's in het volgende formaat: https://example.com.

a. Stijlbron

In het veld Stijlbroncode kun je de geldige bronnen van stijlbladen definiëren die op je kennisbank kunnen worden toegepast. Door de stijlbronnen te configureren, voorkom je dat kwaadaardige stijlen worden gebruikt om Cross-Site Scripting (XSS)-aanvallen op je kennisbank uit te voeren.

  • Typ de domein-URL's van stylesheet-bronnen in dit veld.

  • Alle stylesheets van andere URL's worden beperkt.

OPMERKING

Zorg ervoor dat je een Nonce-attribuut-placeholder hebt toegevoegd in alle aangepaste HTML-scriptsecties.

Voorbeeld: <Script nonce='{{Document360-Nonce}}'>

b. Scriptbron

In het Scriptbronveld kun je de geldige bronnen van JavaScript-codes definiëren die op je kennisbank kunnen worden uitgevoerd. Dit helpt te voorkomen dat kwaadaardige JavaScript-code wordt uitgevoerd, zelfs als deze door een aanvaller in de kennisbank is geïnjecteerd.

  • Typ de domein-URL's van Javascript-bronnen in dit veld.

  • Alle JavaScript-codes van andere URL's zijn beperkt.

c. Framebron

In het Frame source-veld kun je de geldige bronnen van frame-elementen definiëren zoals <frame> en <iframe> die in je kennisbank kunnen worden ingebed.

  • Typ de domein-URL's van framebronnen in dit veld.

  • Alle frames van andere URL's worden beperkt.

Je instellingen voor contentbeveiligingsbeleid testen

Na het instellen van je CSP is het belangrijk om te controleren of de instellingen naar behoren werken. Om te controleren of het contentbeveiligingsbeleid correct is toegepast:

  1. Open het tabblad Netwerk in de ontwikkelaarstools van je browser.

  2. Bezoek je kennisbank en bekijk de responskoppen voor de CSP.

  3. Alternatief kun je online tools zoals securityheaders.com gebruiken om te controleren of je website de juiste Content-Security-Policy headers heeft ingesteld.

Veelgestelde vragen

Waarom wordt mijn video in het ene artikel weergegeven als "Deze inhoud is geblokkeerd", maar niet in een ander?

Dit probleem ontstaat meestal door de instellingen van Content Security Policy (CSP) in Document360. De video is mogelijk niet toegestaan door de huidige CSP-instellingen. Verschillende artikelen kunnen verschillende CSP-instellingen hebben. Zorg ervoor dat de videobron is toegestaan in de CSP-instellingen voor alle artikelen waarin de video getoond moet worden.

Hoe kan ik het probleem van een geblokkeerde video in mijn artikel oplossen?

Om dit op te lossen,

  1. Beweeg de muis op Instellingen () in de linker navigatiebalk in het Knowledge base portal.

  2. Selecteer in het submenu Kennisbanksite en navigeer naar Beveiliging.

  3. Voeg onder het gedeelte 'Content security policy' inschakelen de videobron (bijvoorbeeld https://www.youtube.com/) toe aan de lijst "Frame source" en klik op Opslaan.

Waarom geeft mijn CSP-validatie aan dat CSP ontbreekt in de responsheader?

In Document360 wordt het Content Security Policy (CSP) geïmplementeerd met behulp van meta-elementen in plaats van de responsheader. Als je CSP valideert door de response header te inspecteren, lijkt het alsof CSP ontbreekt of inactief is.

Om te bevestigen dat CSP is ingeschakeld op uw kennisbasissite, volgt u deze stappen:

  1. Open je kennisbanksite in een browser.

  2. Klik met de rechtermuisknop ergens op de webpagina en selecteer ' Pagina bron' bekijken.

    De broncode van de pagina zal verschijnen.

  3. Gebruik de zoekfunctie (Ctrl + F op Windows of Cmd + F op Mac) en zoek naar de term "Content-Security-Policy".

  4. Als de term "Content-Security-Policy" wordt gevonden, zal de CSP-configuratie verschijnen als de code die deze term volgt.

Door te valideren via het meta-element in de broncode van de pagina, kun je bevestigen dat CSP is ingeschakeld voor je kennisbanksite.

Kan ik specifieke domeinen toestaan om mijn kennisbank in te betten?

Ja, je kunt de toegestane domeinen specificeren in de instelling Frame source of content security policy.

Kan ik een privéproject toevoegen binnen een iframe?

Nee, privéprojecten kunnen niet in een iframe worden ingebed.

Authenticatiecookies worden niet correct ingesteld binnen iframes, wat leidt tot herhaalde inlogpogingen en doorleidingsfouten. Om veiligheidsredenen kunnen cookie-instellingen niet worden versoepeld.

Gebruik in plaats daarvan een kennisbank-widget als je de kennisbank in een andere applicatie moet inbedden.

gerelateerde artikelen