Disclaimer: Dit artikel is gegenereerd door automatische vertaling.

Beleid voor inhoudsbeveiliging

  • Bijgewerkt op Dec 6, 2024
  • Gepubliceerd op Nov 4, 2024
  • 3 Gelezen minuut(en)
  • Janeera D A
  • Pradeep Srinivasan
  • Manoharan Soundarraj
 Prev Next

Plannen ter ondersteuning van het inhoudsbeveiligingsbeleid op de kennisbanksite

Professional
Business
Enterprise






Content Security Policy (CSP) is een beveiligingsgerelateerde functie die helpt bij het beheren en voorkomen van de externe CSS, scripts en frames die zijn ingesloten in uw kennisbank. Wanneer het inhoudsbeveiligingsbeleid in het project is ingeschakeld, wordt de Content-Security-Policy antwoordheader toegevoegd aan de aanvraagheader met de standaard toegestane domeinen voor elke bron. Het beperkt het laden van bronnen van externe domeinen en staat alleen bronnen toe uit de geconfigureerde lijst met domeinen voor elke bron.

Het inhoudsbeveiligingsbeleid inschakelen

image.png

  1. Navigeer naar Instellingen () > Gebruikers en beveiliging > Beveiliging in de Knowledge Base-portal.

  2. Schakel de schakelaar Inhoudsbeveiligingsbeleid inschakelen in.

  3. U kunt de volgende bronvelden vinden:
    a. Bron van de stijl
    b. Bron van het script
    c. Bron van het frame.

  4. Typ de gewenste domein-URL's in de respectievelijke velden.

  5. Klik op Opslaan.

NOTITIE

  • De tekenlimiet voor elke limiet is 5000.

  • Gebruik komma's (,) om de URL's van elkaar te scheiden.

  • Houd de URL's in de volgende indeling: https://example.com.

een. Stijl bron

In het veld Stijlbron kunt u de geldige bronnen van stylesheets definiëren die kunnen worden toegepast op uw Knowledge Base. Door de stijlbronnen te configureren, voorkomt u dat schadelijke stijlen worden gebruikt om XSS-aanvallen (Cross-Site Scripting) uit te voeren op uw kennisbank.

  • Typ in dit veld de domein-URL's van stylesheetbronnen .

  • Alle stylesheets van andere URL's worden beperkt.

NOTITIE

Zorg ervoor dat u een tijdelijke aanduiding voor het Nonce-kenmerk hebt toegevoegd aan alle secties van aangepaste HTML-scripts.

Voorbeeld: <Script nonce='{{Document360-Nonce}}'>

b. Bron van het script

In het veld Scriptbron kunt u de geldige bronnen van JavaScript-codes definiëren die kunnen worden uitgevoerd op uw Knowledge Base. Dit helpt voorkomen dat schadelijke JavaScript-code wordt uitgevoerd, zelfs als deze door een aanvaller in de kennisbank is geïnjecteerd.

  • Typ in dit veld de domein-URL's van Javascript-bronnen .

  • Alle JavaScript-codes van andere URL's worden beperkt.

c. Bron van het frame

In het veld Framebron kunt u de geldige bronnen definiëren van frame-elementen zoals <frame> en <iframe> die kunnen worden ingesloten in uw kennisbank.

  • Typ in dit veld de domein-URL's van framebronnen .

  • Alle frames van andere URL's worden beperkt.

De instellingen van uw inhoudsbeveiligingsbeleid testen

Nadat je je CSP hebt ingesteld, is het belangrijk om te controleren of de instellingen werken zoals verwacht. Ga als volgt te werk om te controleren of het inhoudsbeveiligingsbeleid correct is toegepast:

  1. Open het tabblad Netwerk in de ontwikkelaarstools van uw browser.

  2. Ga naar uw kennisbank en bekijk de responskoppen voor de CSP.

  3. Als alternatief kunt u online tools zoals securityheaders.com gebruiken om te controleren of uw website de juiste Content-Security-Policy-headers heeft ingesteld.

VEELGESTELDE VRAGEN

Waarom wordt mijn video in het ene artikel wel weergegeven als 'Deze inhoud is geblokkeerd' en in het andere niet?

Dit probleem treedt meestal op als gevolg van CSP-instellingen (Content Security Policy) in Document360. De video is mogelijk niet toegestaan door de huidige CSP-instellingen. Verschillende artikelen kunnen verschillende CSP-instellingen hebben. Zorg ervoor dat de videobron is toegestaan in de CSP-instellingen voor alle artikelen waarin de video moet worden weergegeven.

Hoe kan ik het probleem van een geblokkeerde video in mijn artikel oplossen?

Om dit op te lossen, navigeert u naar Instellingen > Gebruikers en beveiliging > Beveiliging. Voeg onder de sectie Inhoudsbeveiligingsbeleid inschakelen de videobron (bijvoorbeeld https://www.youtube.com/) toe aan de lijst 'Framebron' en klik op Opslaan.

Waarom geeft mijn CSP-validatie aan dat de CSP ontbreekt in de responsheader?

In Document360 wordt het Content Security Policy (CSP) geïmplementeerd met behulp van meta-elementen in plaats van de responsheader. Als u CSP valideert door de antwoordheader te inspecteren, lijkt het alsof CSP ontbreekt of is uitgeschakeld.

Ga als volgt te werk om te controleren of CSP is ingeschakeld op uw Knowledge Base-site:

  1. Open de Knowledge Base-site in een browser.

  2. Klik met de rechtermuisknop op een willekeurige plaats op de webpagina en selecteer Paginabron weergeven.

    De broncode van de pagina wordt weergegeven.

  3. Gebruik de zoekfunctie (Ctrl + F op Windows of Cmd + F op Mac) en zoek naar de term "Content-Security-Policy".

  4. Als de term "Content-Security-Policy" wordt gevonden, wordt de CSP-configuratie weergegeven als de code die volgt op deze term.

Door te valideren via het meta-element in de paginabron, kunt u bevestigen dat CSP is ingeschakeld voor uw Knowledge Base-site.

gerelateerde artikelen