Kopfzeilenwerte der Content Security Policy (CSP) konfigurieren
CSP-Kopfzeilenwerte werden auf der Registerkarte "Content Security Policy-Regeln" des Plattform-Subsystems konfiguriert.
Die Registerkarte Content Security Policy-Regeln ist nur für Administratoren zugänglich. Wenn Nicht-Administratoren versuchen, auf diese Registerkarte zuzugreifen, erhalten sie eine Warnung mit dem Hinweis, dass nur Administratoren Zugriff haben.
Oben auf der Seite ist eine kurze Erläuterung der Content Security Policy-Anweisungen sowie ein Link zum relevanten Thema im Hilfe-Center für ThingWorx Platform zu finden.
Hier wird eine Warnung angezeigt, wenn die CSP nicht aktiviert ist oder eine Änderung durchgeführt wurde. Diese dient als Hinweis für den Administrator, dass es bis zu 1 Minute dauern kann, bis die Änderung wirksam wird.
Anzeigetabelle
In der Tabelle werden alle konfigurierten Anweisungen, die Werte sowie die Beschreibung der Anweisungen angezeigt.
Die Spalten Anweisung, Wert und Beschreibung sind sortierbar.
Das Textfeld Filter über der Tabelle kann von verwendet werden, um nach Anweisungen, Werten und Beschreibungen zu filtern.
Spalte Aktion
Die Aktionsspalte ist anfänglich leer. Beim Hinzufügen und Bearbeiten von Anweisungen werden Symbole in die Aktionsspalte eingefügt, die das Bearbeiten, Wiederherstellen und Speichern von Änderungen unterstützen.
• Zurücksetzen – 
Durch Auswahl dieses Symbols wird die Anweisung auf den Standardwert zurückgesetzt. Nur für Standardanweisungen verfügbar.
Durch Auswahl dieses Symbols wird die Anweisung auf den Standardwert zurückgesetzt. Nur für Standardanweisungen verfügbar.• Löschen – 
Durch Auswahl dieses Symbols wird die gewählte Anweisung gelöscht. Nur Anweisungen, die von Administratoren hinzugefügt wurden, können gelöscht werden.
Durch Auswahl dieses Symbols wird die gewählte Anweisung gelöscht. Nur Anweisungen, die von Administratoren hinzugefügt wurden, können gelöscht werden.Spalte Anweisung
Die konfigurierten CSP-Anweisungen, die steuern, welche Ressourcen auf der Webseite angezeigt werden dürfen und welche blockiert werden. Anweisungen sind eine Kombination aus Standardeinträgen und zusätzlichen Anweisungen, die zur Unterstützung bestimmter Anwendungen hinzugefügt wurden.
Spalte Wert
Die Richtlinie für die angegebene Anweisung. Ein allgemeiner Wert ist 'self'.
Spalte Beschreibung
Eine kurze Beschreibung der Richtlinie. Es werden nur Beschreibungen für Ebene-2-Anweisungen angezeigt. Die Spezifikation für Ebene 3 ist noch nicht fertiggestellt und daher werden keine Beschreibungen dafür angezeigt.
Anweisungen hinzufügen
Die Schaltfläche Hinzufügen wird über der Tabelle neben dem Textfeld Filter angezeigt. Über diese Schaltfläche können Administratoren neue Anweisungen hinzufügen.
Bei Auswahl der Schaltfläche Hinzufügen wird der rechte Fensterbereich Neue Anweisung geöffnet.
Führen Sie die folgenden Schritte aus, um Anweisungen hinzuzufügen:
1. Klicken Sie auf Hinzufügen, um den Fensterbereich Neue Anweisung zu öffnen.
2. Geben Sie im Fensterbereich Neue Anweisung die folgenden Informationen ein:
◦ Anweisung – Dies ist ein gültiger Name einer CSP-Anweisung der Ebene 2 oder 3, die gemäß beiden Spezifikationen validiert wurde. Administratoren können den Namen einer gültigen Anweisung manuell eingeben oder auf 
klicken, um ein Dialogfenster mit allen gültigen Ebene-2-Anweisungen zu öffnen. Ebene-3-Anweisungen werden nicht zur Auswahl angeboten, können aber manuell eingegeben werden. Dieses Feld muss ausgefüllt werden. Doppelte Anweisungsnamen sind nicht zulässig. Der Name einer Anweisung darf maximal 100 Zeichen umfassen.
klicken, um ein Dialogfenster mit allen gültigen Ebene-2-Anweisungen zu öffnen. Ebene-3-Anweisungen werden nicht zur Auswahl angeboten, können aber manuell eingegeben werden. Dieses Feld muss ausgefüllt werden. Doppelte Anweisungsnamen sind nicht zulässig. Der Name einer Anweisung darf maximal 100 Zeichen umfassen.
◦ Zulässig – Dies ist ein erforderlicher Wert; ein Leerzeichen ist jedoch zulässig, um bestimmte Anweisungen zu unterstützen, die keine Werte haben. Ihre Anwesenheit in der gesamten CSP-Richtlinie lässt ein bestimmtes Verhalten zu. Werte, die als Zulässig gekennzeichnet sind, werden anhand einer CSP-Bibliothek validiert. Der Validierer such nach Schlüsselwörtern und überprüft auf eine ungültige Syntax. Semikolons (;) sind nicht zulässig, und ein Speichern der Anweisung wird blockiert. Andere Syntaxprobleme, z.B. Doppelpunkte (:), führen zur Anzeige einer Warnung. Die Anweisung kann jedoch gespeichert werden. Der Composer lässt zu, dass Administratoren ungültige Werte speichern, da diese in Ebene 3 gültig sein können, der Validierer jedoch Ebene-2-konform ist. Im Fensterbereich wird eine Fehlermeldung angezeigt, wenn ein als Zulässig gekennzeichneter Wert ungültig ist.
Zulässige Zeichenfolgen dürfen höchstens 1200 Zeichen umfassen und sollten so kurz wie möglich sein. Die gesamte CSP-Richtlinie (alle Anweisungen kombiniert) ist auf 1200 Zeichen begrenzt.
3. Klicken Sie auf das Häkchen, um die Anweisung hinzuzufügen.
Anweisungen bearbeiten
Durch Auswahl einer Anweisung in der Tabelle wird das Fenster "Anweisung bearbeiten" geöffnet, in dem der Administrator eine bereits vorhandene Anweisung bearbeiten kann.
Führen Sie die folgenden Schritte aus, um Anweisungen zu bearbeiten:
1. Wählen Sie eine Anweisung aus, um das Fenster "Anweisung bearbeiten" zu öffnen.
2. Geben Sie im Fenster "Anweisung bearbeiten" die folgenden Informationen ein:
◦ Anweisung – Name der Anweisung, die bearbeitet wird. Schreibgeschützt.
◦ Wird von ThingWorx verlangt – Die Anweisung wird für das ordnungsgemäße Funktionieren von ThingWorx benötigt. Schreibgeschützt.
◦ Zulässig – Werte, die der Standardanweisung hinzugefügt werden sollen. Zulässige Werte werden anhand einer CSP-Bibliothek auf Probleme wie z.B. fehlende Schlüsselwörter, doppelte Schlüsselwörter und ungültige Schlüsselworte validiert. Der Validierer such nach Schlüsselwörtern und überprüft auf eine ungültige Syntax. Semikolons (;) sind nicht zulässig, und ein Speichern der Anweisung wird blockiert. Andere Syntaxprobleme, z.B. Doppelpunkte (:), führen zur Anzeige einer Warnung. Die Anweisung kann jedoch gespeichert werden. Der Composer lässt zu, dass Administratoren ungültige Werte speichern, da diese in Ebene 3 gültig sein können, der Validierer jedoch Ebene-2-konform ist. Beim Rollout wird eine Fehlermeldung angezeigt, wenn ein zulässiger Wert ungültig ist.
◦ Wert – Endgültiger Wert der Anweisung. Dies ist eine Kombination der Felder Wird von ThingWorx verlangt und Zulässig. Wertzeichenfolgen dürfen höchstens 1200 Zeichen umfassen und sollten so kurz wie möglich sein. Die gesamte CSP-Richtlinie (alle Anweisungen kombiniert) ist auf 1200 Zeichen begrenzt.
 | Normalerweise werden die Standardeinstellung und der Wert Zulässig kombiniert, sodass die Werte, die in die CSP-Kopfzeile eingefügt werden, sowohl den Standardwert und als auch den Wert für "Zulässig" enthalten. So ist z.B. die Standardeinstellung für frame-ancestors der Wert 'self'. Wenn ein Administrator die Konfiguration der Anweisung frame-ancestors so aktualisiert, dass https://*.somedomain.com eingeschlossen wird, lautet der endgültige Kopfzeilenwert 'self' https://*.somedomain.com. Damit object-src auf none festgelegt werden kann, wird der Standardwert nicht durch den Wert Zulässig ergänzt, sondern durch den Wert Zulässig ersetzt. Die Standardeinstellung für object-src ist beispielsweise 'self'. Wenn Sie object-src auf https://*.somedomain.com aktualisieren, lautet die an die CSP gesendete Anweisung nur https://*.somedomain.com. Wenn Sie 'self' in die Anweisung einschließen möchten, müssen Sie object-src ausdrücklich so konfigurieren, dass 'self' darin enthalten ist, wie folgt: 'https://*.somedomain.com' 'self'. Wenn die Konfiguration von object-src 'none' einschließt, überschreibt das alle anderen Einstellungen. Daher ist 'self' 'none' effektiv 'none'. Verwenden Sie einfache Anführungszeichen (') und keine doppelten Anführungszeichen ("), wenn Anführungszeichen benötigt werden. |
| | Standardmäßig ist für frame-ancestor bei der Installation 'self' festgelegt. Wenn der Clickjack-Filter in web.xml und ThingWorx konfiguriert wurde und eine Migration zur CSP stattgefunden hat, wird frame-ancestor auf 'self' und die im Clickjack-Filter definierte Zulassungsliste festgelegt. |
CSP-Konfigurationseinstellungen speichern und erzwingen
Klicken Sie auf Speichern, um alle an der CSP-Konfiguration vorgenommenen Änderungen zu speichern. Es sind keine zusätzlichen Schritte erforderlich, um ThingWorx das Erzwingen der neuen Richtlinie zu ermöglichen. Es dauert jedoch bis zu einer Minute, bis die CSP-Kopfzeile aktualisiert und verwendet wird.
CSP evaluieren
Administratoren können ihre CSP überprüfen, indem sie zum CSP Evaluator gehen. Kopieren Sie dazu die CSP-Richtlinie aus den Entwicklertools des Browsers, und testen Sie sie im CSP Evaluator, indem Sie folgendermaßen vorgehen:
1. Öffnen Sie das Netzwerk in den Entwicklertools des Browsers.
2. Aktualisieren Sie die Webseite des Browsers.
3. Wählen Sie eine Anfrage aus, und öffnen Sie die Content Security Policy-Kopfzeile.
4. Kopieren Sie den Wert, und fügen Sie ihn in den CSP Evaluator ein.
5. Der CSP Evaluator analysiert die Einstellungen.
| | Der Composer fordert, dass 'unsafe-eval' und 'unsafe-inline' für 'script-src' konfiguriert sind, und dass für 'style-src' 'unsafe-inline' konfiguriert ist. Diese Einstellungen können in ThingWorx nicht geändert werden. |