Content Security Policy : paramètres d'en-tête par défaut
Valeurs d'en-tête CSP : paramètres par défaut
Avec ThingWorx, les valeurs d'en-tête CSP ci-après sont configurées par défaut. Pour plus d'informations sur la façon dont les administrateurs peuvent mettre à jour la configuration des en-têtes CSP, consultez la rubrique Configuration des valeurs d'en-tête de Content Security Policy.
|
En-tête
|
Paramètre par défaut
|
Remarques
|
||
|---|---|---|---|---|
|
default-src
|
'self'
|
Permet de spécifier la valeur par défaut des ressources de secours qui peuvent être chargées ou récupérées sur la page, telles que script-src, style-src, et ainsi de suite.
|
||
|
connect-src
|
'self'
|
Protège plusieurs mécanismes de navigateur qui peuvent récupérer les requêtes HTTP. Ceci inclut XMLHttpRequest (XHR/AJAX), WebSocket, fetch(), <a ping> ou EventSource.
|
||
|
font-src
|
'self'
|
Protège le chargement des polices à l'aide de @font-face.
|
||
|
frame-ancestors
|
'self'
|
Permet de spécifier les URL parentes qui peuvent afficher la ressource actuelle. A l'aide de la directive CSP frame-ancestors, vous pouvez autoriser ou bloquer le placement d'une page dans une frame ou une iframe.
Si le filtrage de protection contre le détournement de clic a été configuré dans web.xml et qu'une migration vers CSP s'est produite, frame-ancestor est défini sur 'self' et la liste d'autorisation est définie dans le filtre de protection contre le détournement de clic.
|
||
|
frame-src
|
‘self’ tw-ra-client:
|
Contrôle le chargement des frames. Par exemple, l'utilisation d'une balise HTML <iframe> dans un document HTML.
|
||
|
img-src
|
'self'
|
Protège le chargement d'images. Par exemple, à l'aide d'une balise HTML <img>.
|
||
|
media-src
|
'self'
|
Protège le chargement de fichiers audio et vidéo. Par exemple, des éléments HTML5 <audio> et <video>.
|
||
|
object-src
|
'self'
|
Spécifie les sources valides pour les éléments <objet> et <embed>. Cela inclut des fonctions de plug-in de navigateur telles que les contrôles Flash, Java et ActiveX.
|
||
|
script-src
|
‘self’ ‘unsafe-eval’ ‘unsafe-inline’
|
Protège le chargement et l'exécution de JavaScript.
|
||
|
style-src
|
‘self’ 'unsafe-inline’
|
Protège le chargement et l'exécution des feuilles de style et styles CSS.
|
||
|
worker-src
|
'self'
|
 |
Cette remarque se rapporte à object-src.
Généralement, lorsque vous modifiez une directive CSP, le paramètre par défaut et les nouveaux paramètres sont combinés de sorte que la valeur injectée dans l'en-tête CSP inclue la valeur par défaut et le nouveau paramètre. Par exemple, frame-ancestors est défini par défaut sur 'self'. Si vous mettez à jour la configuration frame-ancestors pour inclure https://*.somedomain.com, la valeur d'en-tête finale est 'self' ‘https://*.somedomain.com’.
Pour activer les paramètres object-src selon la valeur 'none', le comportement est différent. A la place, la mise à jour remplace la valeur par défaut lors de l'augmentation du paramètre par défaut par la mise à jour de l'administrateur. Par exemple, la valeur par défaut de object-src est 'self'. Si vous mettez à jour object-src vers https://*.somedomain.com, la directive envoyée à CSP sera uniquement https://*.somedomain.com. Si vous souhaitez que la valeur 'self' soit incluse, vous devez configurer explicitement object-src sur ‘https://*.somedomain.com' 'self’. Si votre configuration object-src inclut 'none', elle remplace tous les autres paramètres. Par conséquent, 'self' 'none' est effectivement 'none'.
|