Kopfzeile
|
Standardeinstellung
|
Hinweise
|
||
---|---|---|---|---|
default-src
|
'self'
|
Ermöglicht es, die standardmäßigen Fallback-Ressourcen anzugeben, die auf der Seite geladen oder abgerufen werden können, z.B. script-src, style-src usw.
|
||
connect-src
|
'self'
|
Überwacht mehrere Browsermechanismen, die HTTP-Anforderungen abrufen können. Dazu gehören XMLHttpRequest (XHR/AJAX), WebSocket, fetch(), <a ping> oder EventSource.
|
||
font-src
|
'self'
|
Überwacht das Laden von Schriftarten unter Verwendung von @font-face.
|
||
frame-ancestors
|
'self'
|
Ermöglicht es, anzugeben, welche Eltern-URLs die aktuelle Ressource framen können. Mit der CSP-Anweisung frame-ancestors können Sie zulassen oder blockieren, dass eine Seite in einem Frame oder iframe platziert wird.
Wenn der Clickjack-Filter in web.xml konfiguriert wurde und eine Migration zu CSP stattgefunden hat, wird frame-ancestor auf 'self' festgelegt und die Zulassungsliste wird im Clickjack-Filter definiert.
|
||
frame-src
|
‘self’ tw-ra-client:
|
Steuert das Laden von Frames. Beispielsweise mit einem HTML-Tag <iframe> in einem HTML-Dokument.
|
||
img-src
|
'self'
|
Überwacht das Laden von Bildern. Beispielsweise mit einem HTML-Tag <img>.
|
||
media-src
|
'self'
|
Überwacht das Laden von Audio und Video. Beispielsweise HTML5 <audio>- und <video>-Elemente.
|
||
object-src
|
'self'
|
Gibt die gültigen Quellen für die Elemente <object> und <embed> an. Dies schließt Browser-Plugin-Funktionen wie Flash, Java und ActiveX-Steuerelemente ein.
|
||
script-src
|
‘self’ ‘unsafe-eval’ ‘unsafe-inline’
|
Überwacht das Laden und die Ausführung von JavaScript.
|
||
style-src
|
‘self’ 'unsafe-inline’
|
Überwacht das Laden und die Ausführung von CSS Styles und Stylesheets.
|
||
worker-src
|
'self'
|
![]() |
Dieser Hinweis bezieht sich auf object-src.
Beim Ändern einer CSP-Anweisung werden normalerweise die Standardeinstellung und die neue(n) Einstellung(en) kombiniert, sodass der in die CSP-Kopfzeile eingefügte Wert den Standardwert und die neue Einstellung enthält. Für frame-ancestors wird beispielsweise standardmäßig 'self' eingestellt. Wenn Sie die Konfiguration von frame-ancestors so aktualisieren, dass https://*.somedomain.com eingeschlossen wird, lautet der endgültige Kopfzeilenwert 'self' ‘https://*.somedomain.com’.
Bei der Aktualisierung der Einstellung object-src auf den Wert 'none' ist das Verhalten anders. Durch die Aktualisierung wird vielmehr der Standardwert ersetzt, wenn die Standardeinstellung durch die Aktualisierung des Administrators erweitert wird. Die Standardeinstellung für object-src ist beispielsweise 'self'. Wenn Sie object-src zu https://*.somedomain.com aktualisieren, lautet die an CSP gesendete Anweisung nur https://*.somedomain.com. Wenn Sie 'self' einschließen möchten, müssen Sie object-src ausdrücklich auf ‘https://*.somedomain.com' 'self’ konfigurieren. Wenn die Konfiguration von object-src den Wert 'none' einschließt, überschreibt das alle anderen Einstellungen. Daher ist 'self' 'none' effektiv 'none'.
|