Configuración de valores de cabecera de la directiva de seguridad del contenido
Los valores de la cabecera de CSP se configuran en el subsistema de plataforma en la ficha Reglas de la directiva de seguridad del contenido del subsistema de plataforma.
Solo los administradores pueden acceder a la ficha Reglas de la directiva de seguridad del contenido. Los que no son administradores que intenten acceder a ella, recibirán un aviso en el que se indica que solo tienen acceso los administradores.
En la parte superior de la página hay una breve explicación de las directivas de la directiva de seguridad del contenido y un enlace al tema correspondiente en el centro de ayuda de ThingWorx Platform.
Aquí aparecen avisos si CSP no está activado y después de hacer un cambio para avisar al administrador de que el cambio puede tardar hasta 1 minuto en surtir efecto.
Tabla de visualización
En la tabla se muestran todas las directivas configuradas, sus valores y sus descripciones de directiva.
Las columnas Directiva, Valor y Descripción se pueden ordenar.
El cuadro de texto Filtro situado encima de la tabla puede utilizarse para filtrar por directivas, valores y descripciones.
Columna de acción
La columna de acción estará vacía inicialmente. A medida que se añadan y editen las instrucciones, los iconos rellenarán la columna de acción para ayudar a editar, revertir y guardar los cambios.
• Redefinir: 
cuando se selecciona, se redefine la directiva con el valor por defecto. Solo está disponible para las directivas por defecto.
cuando se selecciona, se redefine la directiva con el valor por defecto. Solo está disponible para las directivas por defecto.• Borrar: 
cuando se selecciona, se borra la directiva elegida. Solo se pueden borrar las directivas añadidas por los administradores.
cuando se selecciona, se borra la directiva elegida. Solo se pueden borrar las directivas añadidas por los administradores.Columna Directiva
Las directivas CSP configuradas que controlan qué recursos se pueden visualizar en la página web y cuáles están bloqueados. Las directivas son una combinación de entradas por defecto y directivas adicionales añadidas para soportar aplicaciones específicas.
Columna Valor
La directiva de la directiva especificada. Un valor común es 'self'.
Columna Descripción
Una breve descripción de la directiva. Solo se muestran las descripciones de directivas de nivel 2. La especificación de nivel 3 no está finalizada, por lo que no se muestran descripciones.
Adición de directivas
El botón Añadir aparece encima de la tabla junto al cuadro de texto Filtro. Permite a los administradores añadir nuevas directivas.
Cuando se selecciona, el botón Añadir abre el panel del lado derecho Nueva directiva.
Para añadir directivas, lleve a cabo los siguientes pasos:
1. Pulse en Añadir para abrir el panel Nueva directiva.
2. Introduzca la siguiente información en el panel Nueva directiva:
◦ Directiva: se trata de una directiva CSP Nivel 2 o Nivel 3 válida que se valida con ambas especificaciones. Los administradores pueden introducir manualmente un nombre de directiva válido o pulsar en 
para abrir un cuadro de diálogo con todas las directivas válidas de nivel 2. Las directivas de nivel 3 no se pueden seleccionar, pero se pueden introducir manualmente. Este campo es obligatorio. No se permiten nombres de directiva duplicados. Los nombres de directiva se limitan a 100 caracteres.
para abrir un cuadro de diálogo con todas las directivas válidas de nivel 2. Las directivas de nivel 3 no se pueden seleccionar, pero se pueden introducir manualmente. Este campo es obligatorio. No se permiten nombres de directiva duplicados. Los nombres de directiva se limitan a 100 caracteres.
◦ Permitido: este es un valor obligatorio. Sin embargo, se permite un espacio en blanco para soportar determinadas directivas que no tienen valores. Su presencia en la directiva general de CSP permite un comportamiento determinado. Los valores de Permitido se validan en una biblioteca de CSP. El validador verifica si hay palabras clave y comprueba la sintaxis no válida. Los puntos y coma (;) no se permiten y la directiva no se puede guardar. Otros problemas de sintaxis, como los dos puntos (:), generan un aviso. Sin embargo, la directiva puede guardarse. Composer permite a los administradores guardar los valores no válidos porque pueden ser válidos en nivel 3, pero el validador es compatible con nivel 2. Se muestra un mensaje de error en el panel si un valor Permitido no es válido.
Las cadenas permitidas se limitan a 1200 caracteres y deben ser lo más cortas posible. La directiva total de CSP (todas las directivas combinadas) se limita a 1200 caracteres.
3. Pulse en la marca para añadir la directiva.
Edición de directivas
Al seleccionar una directiva en la tabla, se abre la ventana Editar directiva, que permite al administrador editar una directiva previamente existente.
Para editar las directivas, complete los siguientes pasos:
1. Seleccione una directiva para abrir la ventana Editar directiva.
2. En la ventana Editar directiva, introduzca la siguiente información:
◦ Directiva: nombre de la directiva que se está editando. Solo lectura.
◦ Requerido por ThingWorx: directivas que ThingWorx requiere para que funcione correctamente. Solo lectura.
◦ Permitido: valores que se añadirán a la directiva por defecto. Los valores permitidos se validan con una biblioteca de CSP para incidencias como, por ejemplo, palabras clave que faltan, palabras clave duplicadas y palabras clave no válidas. El validador verifica si hay palabras clave y comprueba la sintaxis no válida. No se permiten los puntos y coma (;) y estos impiden que la directiva se guarde. Otros problemas de sintaxis, como los dos puntos (:), generan un aviso. Sin embargo, la directiva puede guardarse. Composer permite a los administradores guardar los valores no válidos porque pueden ser válidos en nivel 3, pero el validador es compatible con nivel 2. Se muestra un mensaje de error en la implementación cuando un valor permitido no es válido.
◦ Valor: valor de la directiva final. Es una combinación de los campos Requerido por ThingWorx y Permitido. Las cadenas de valor están limitadas a 1200 caracteres y deben ser lo más cortas posible. La directiva total de CSP (todas las directivas combinadas) se limita a 1200 caracteres.
 | Normalmente, la configuración por defecto y el valor Permitido se combinan, por lo que los valores inyectados en la cabecera de CSP incluyen los valores por defecto y permitidos. Por ejemplo, el valor por defecto de frame-ancestors es 'self'. Si un administrador actualiza la configuración de la directiva frame-ancestors para incluir https://*.somedomain.com, el valor final de la cabecera es 'self' https://*.somedomain.com. Para activar la definición de object-src en 'none', en lugar del valor Permitido que aumenta el valor por defecto, el valor Permitido reemplaza al valor por defecto. Por ejemplo, la configuración por defecto de object-src es 'self'. Si se actualiza object-src a https://*.somedomain.com, la directiva enviada a CSP solo es https://*.somedomain.com. Si desea que 'auto' se incluya, debe configurar explícitamente object-src para incluir 'self', de la siguiente manera: 'https://*.somedomain.com' 'self'. Si en la opción de configuración object-src se incluye 'none', se anula cualquier otra configuración. Por lo tanto, self 'none' es efectivamente 'none'. Utilice comillas simples ('), no comillas dobles (") cuando estas se necesiten. |
| | Por defecto, frame-ancestor se define en 'self' en la instalación. Si el filtro de secuestro de pulsación se ha configurado en web.xml y se produce la migración de ThingWorx a CSP, frame-ancestor se define en 'self' y la lista de autorización se define en el filtro de secuestro de pulsación. |
Guardado y aplicación de las opciones de configuración de CSP
Pulse en Guardar para guardar todos los cambios realizados en la configuración del CSP. No es necesario realizar ningún paso adicional para que ThingWorx aplique la nueva directiva. Sin embargo, hay un retraso de hasta 1 minuto antes de que se actualice y utilice la cabecera del CSP.
Evaluación del CSP
Los administradores pueden comprobar su CSP al visitar CSP Evaluator. Para ello, copie la directiva CSP desde las herramientas de desarrollador del explorador y pruébela en el evaluador de CSP de este modo:
1. Abra la red en las herramientas de desarrollador del explorador.
2. Renueva la página Web del navegador.
3. Seleccione una solicitud y abra la cabecera Content-Security-Policy.
4. Copie el valor y péguelo en el evaluador de CSP.
5. El evaluador de CSP analizará la configuración.
| | Composer requiere 'unsafe-eval' y 'unsafe-inline' configurados para 'script-src' y 'style-src configurado con 'unsafe-inline'. Esta configuración no se puede modificar en ThingWorx. |