Content Security Direktiven
Im Bereich Sicherheit wurde in WebOffice 10.9 SP2 eine zusätzliche Funktion implementiert. Hier können Content Security Direktiven definiert werden. Diese Direktiven basieren auf einer Empfehlung des Open Web Application Security Project (OWASP) und sind spezifisch für WebOffice ergänzt. Bei Bedarf können einzelne Direktiven überschrieben werden.
|
Mehr Details zu diesem Thema auf https://content-security-policy.com. |
Content Security Direktiven
Bei Konfiguration eines Knotens (ohne Angabe einzelner Direktiven) werden folgende Direktiven angewendet:
Direktive-Typ |
Direktive-Wert |
Beschreibung |
|---|---|---|
default |
none |
|
script-src |
self unsafe-inline unsafe-eval |
Definiert gültige Quellen für JavaScript. |
worker-src |
self blob: |
Schränkt die URLs ein, die als Worker, SharedWorker oder ServiceWorker geladen werden dürfen. |
style-src |
self unsafe-inline |
Definiert gültige Quellen für Stylesheets oder CSS. |
object-src |
self |
Definiert gültige Quellen für Plugins, z.B. <object>, <embed> oder <applet>. |
img-src |
self data: |
Definiert gültige Quellen für Bilder. |
form-action |
self |
Definiert gültige Quellen, die als HTML <form>-Aktion verwendet werden können. |
media-src |
self |
Definiert gültige Quellen für Audio und Video, z.B. HTML5 <audio>, <video> Elemente. |
font-src |
self |
Definiert gültige Quellen für Font-Ressourcen (geladen über @font-face). |
connect-src |
self |
Gilt für XMLHttpRequest (AJAX), WebSocket, fetch(), <a ping> oder EventSource. Wenn nicht erlaubt, erzeugt der Browser einen 400 HTTP-Statuscode. |
frame-src |
self |
Definiert gültige Quellen für das Laden von Frames. In CSP Level 2 wurde frame-src zugunsten der child-src-Direktive veraltet. In CSP Level 3 ist frame-src nicht mehr veraltet und wird weiterhin auf child-src verwiesen, wenn es nicht vorhanden ist. |
|
Eine genaue Beschreibung zu den einzelnen Direktiven Typen sowie den zugehörigen Direktiven Werten finden Sie unter https://content-security-policy.com. |
In diesem Kapitel werden nur jene Direktiven beschrieben, die auch eine Verbindung zu WebOffice aufweisen. In den folgenden Szenarien werden einzelne Direktiven individuell angepasst und deren Auswirkungen in WebOffice aufgezeigt.
Zunächst sind die einzelnen Direktiven im Knoten Content Security Direktiven zu erstellen.
Individuelle Anpassung einzelner Direktiven
Bei folgender Einstellung kann das Projekt nicht geöffnet werden.
Direktive connect-src
Projekt kann nicht initialisieren
Wird der Typ frame-src mit dem Wert * versehen, so werden alle Popups oder iFrames blockiert.
Öffnen von Popups oder iFrames nicht möglich
Die Anpassung des Typs img-src mit dem Wert * führt dazu, dass Werkzeugsymbole sowie die Karte selbst nicht dargestellt werden.
Fehlende Kartendarstellung
Bei Anpassung des Typ script-src mit dem Wert * wird ein Projektstart verhindert.
Projektstart ist nicht möglich
Die Anpassung des Typs style-src mit dem Wert * führt zu einer fehlerhaften Darstellungen in WebOffice. Der Themenbaum sowie das Projekt Center werden nicht korrekt dargestellt.
Darstellung des Themenbaums nach Direktivenanpassung
