Configurazione dei valori delle intestazioni Content Security Policy
I valori delle intestazioni CSP vengono configurati nella scheda Regole CSP del sottosistema Piattaforma.
La scheda Regole CSP è accessibile solo dagli amministratori. Gli utenti non amministratori che provano ad accedervi ricevono un messaggio di avvertenza che segnala che l'accesso è consentito solo agli amministratori.
All'inizio della pagina è presente una breve descrizione delle direttive relative alla Content Security Policy e un link al relativo argomento in ThingWorx Platform Help Center.
Se la CSP non è attivata e si apporta una modifica, vengono visualizzate avvertenze che segnalano all'amministratore che per diventare effettiva la modifica potrebbe impiegare fino a 1 minuto.
Tabella di visualizzazione
La tabella visualizza tutte le direttive configurate e i relativi valori e descrizioni.
Le colonne Direttiva, Valore e Descrizione sono ordinabili.
Sopra la tabella è presente la casella di testo Filtro, che gli amministratori possono utilizzare per filtrare direttive, valori e descrizioni.
Colonna Azione
La colonna delle azioni inizialmente è vuota. Man mano che le direttive vengono aggiunte e modificate, nella colonna delle azioni appariranno delle icone per facilitare la modifica, il ripristino e il salvataggio delle modifiche.
• Reimposta - 
Quando questa opzione è selezionata, viene ripristinato il valore di default della direttiva. Disponibile solo per le direttive di default.
Quando questa opzione è selezionata, viene ripristinato il valore di default della direttiva. Disponibile solo per le direttive di default.• Elimina - 
Quando questa opzione è selezionata, la direttiva selezionata viene eliminata. È possibile eliminare solo le direttive aggiunte dagli amministratori.
Quando questa opzione è selezionata, la direttiva selezionata viene eliminata. È possibile eliminare solo le direttive aggiunte dagli amministratori.Colonna Direttiva
Direttive CSP configurate che controllano quali risorse possono essere visualizzate nella pagina Web e quali sono bloccate. Le direttive sono una combinazione di voci di default e direttive aggiuntive aggiunte per supportare applicazioni specifiche.
Colonna Valori
Policy per la direttiva specificata. Un valore comune è 'self'.
Colonna Descrizione
Breve descrizione della direttiva. Vengono visualizzate solo le descrizioni per le direttive di livello 2. La specifica di livello 3 non è ancora stata completata, pertanto non viene visualizzata alcuna descrizione.
Aggiunta di direttive
Il pulsante Aggiungi viene visualizzato sopra la tabella accanto alla casella di testo Filtro. Consente agli amministratori di aggiungere nuove direttive.
Selezionando il pulsante Aggiungi, si apre il pannello di destra Nuova direttiva.
Per aggiungere direttive, attenersi alla procedura descritta di seguito.
1. Fare clic su Aggiungi per aprire il pannello Nuova direttiva.
2. Nel pannello Nuova direttiva immettere le informazioni riportate di seguito.
◦ Direttiva - Si tratta di una direttiva CSP valida per il livello 2 o 3, verificata in base a entrambe le specifiche. Gli amministratori possono immettere manualmente un nome di direttiva valido oppure fare clic su 
per aprire una finestra di dialogo con tutte le direttive di livello 2 valide. Le direttive di livello 3 non sono disponibili per la selezione, ma possono essere immesse manualmente. Questo campo è obbligatorio. Non sono consentiti nomi di direttiva duplicati. I nomi delle direttive possono contenere un massimo di 100 caratteri.
per aprire una finestra di dialogo con tutte le direttive di livello 2 valide. Le direttive di livello 3 non sono disponibili per la selezione, ma possono essere immesse manualmente. Questo campo è obbligatorio. Non sono consentiti nomi di direttiva duplicati. I nomi delle direttive possono contenere un massimo di 100 caratteri.
◦ Consentiti - Questo valore è obbligatorio, ma è consentito uno spazio vuoto per supportare alcune direttive che non hanno valori. La loro presenza nella policy CSP generale consente un determinato comportamento. I valori Consentiti vengono convalidati rispetto a una libreria CSP. Lo strumento di verifica controlla che non ci siano errori di sintassi nelle direttive. Il simbolo di punto e virgola (;) non è consentito e impedisce il salvataggio della direttiva. Altri problemi di sintassi, come la presenza di due punti (:), generano un'avvertenza ma non impediscono il salvataggio della direttiva. Composer consente agli amministratori di salvare i valori non validi poiché questi potrebbero essere validi per il livello 3, ma lo strumento di convalida è conforme al livello 2. Quando un valore Consentiti non è valido, viene visualizzato un messaggio di errore nel pannello.
Le stringhe consentite possono contenere un massimo di 1200 caratteri e devono essere il più possibile brevi. La lunghezza totale della policy CSP (combinazione di tutte le direttive) è limitata a 1200 caratteri.
3. Fare clic sul segno di spunta per aggiungere la direttiva.
Modifica delle direttive
Se si seleziona una direttiva nella tabella, viene visualizzata la finestra Modifica direttiva, che consente all'amministratore di modificare una direttiva già esistente.
Per modificare le direttive, attenersi alla procedura descritta di seguito.
1. Selezionare una direttiva per aprire la finestra Modifica direttiva.
2. Nella finestra Modifica direttiva immettere le informazioni riportate di seguito.
◦ Direttiva - Nome della direttiva sottoposta a modifica. Sola lettura.
◦ Richiesto da ThingWorx - Direttive indispensabili per il corretto funzionamento di ThingWorx. Sola lettura.
◦ Consentiti - Valori da aggiungere alla direttiva di default. I valori consentiti vengono confrontati con una libreria CSP per individuare problemi come parole chiave mancanti, duplicate e non valide. Lo strumento di verifica controlla che non ci siano errori di sintassi nelle direttive. Il simbolo del punto e virgola (";") non è consentito e impedisce il salvataggio della direttiva. Altri problemi di sintassi, come la presenza di due punti (:), generano un'avvertenza ma non impediscono il salvataggio della direttiva. Composer consente agli amministratori di salvare i valori non validi poiché questi potrebbero essere validi per il livello 3, ma lo strumento di convalida è conforme al livello 2. Quando un valore consentito non è valido, viene visualizzato un messaggio di errore durante l'implementazione.
◦ Valore - Valore finale per la direttiva. Il valore è una combinazione dei campi Richiesto da ThingWorx e Consentiti. Le stringhe dei valori sono limitate a 1200 caratteri e devono essere il più possibile brevi. La lunghezza totale della policy CSP (combinazione di tutte le direttive) è limitata a 1200 caratteri.
 | In genere, l'impostazione di default e il valore Consentiti vengono combinati, pertanto i valori inseriti nell'intestazione CSP includono entrambi i valori, quello di default e quello consentito. Ad esempio, l'impostazione di default di frame-ancestors è 'self'. Se un amministratore aggiorna la configurazione della direttiva frame-ancestors in modo da includere https://*.somedomain.com, il valore finale dell'intestazione è 'self' https://*.somedomain.com. Per attivare l'impostazione object-src su 'none', anziché sommare il valore di default al valore Consentiti, il valore Consentiti sostituisce il valore di default. Ad esempio, l'impostazione di default per object-src è self. Se si aggiorna object-src in https://*.somedomain.com, la direttiva inviata alla CSP sarà solo https://*.somedomain.com. Se invece si desidera includere 'self', è necessario configurare in modo esplicito object-src in modo che includa 'self', come segue: 'https://*.somedomain.com' 'self'. Se la configurazione di object-src include 'none', sostituisce tutte le altre impostazioni. Pertanto, 'self' 'none' corrisponde, di fatto, a 'none'. Utilizzare virgolette singole ('), non virgolette doppie (") dove ne è richiesto l'utilizzo |
| | Per default, frame-ancestor viene impostato su 'self' durante l'installazione. Se in web.xml e in ThingWorx è stato configurato il filtro contro il clickjacking e successivamente è stata eseguita la migrazione alla CSP, frame-ancestor viene impostato su 'self' e nel filtro contro il clickjacking viene definito l'elenco degli elementi consentiti. |
Salvataggio e applicazione delle impostazioni di configurazione CSP
Fare clic su Salva per salvare tutte le modifiche apportate alla configurazione della CSP. Per applicare la nuova policy in ThingWorx, non sono necessari passi aggiuntivi. Tuttavia, potrebbe verificarsi fino a un minuto di ritardo prima che l'intestazione CSP venga aggiornata e utilizzata.
Valutazione della CSP
Gli amministratori possono verificare la propria CSP accedendo alla pagina CSP Evaluator. A tale scopo, copiare la policy CSP dagli strumenti di sviluppo del browser e testarla nello strumento di valutazione delle CSP attenendosi alla procedura descritta di seguito.
1. Aprire la rete negli strumenti di sviluppo del browser.
2. Aggiornare la pagina Web del browser.
3. Selezionare una richiesta e aprire l'intestazione CSP.
4. Copiare il valore e incollarlo nello strumento di valutazione CSP.
5. Lo strumento di valutazione CSP analizzerà le impostazioni.
| | Composer richiede la configurazione di ‘unsafe-eval’ e ‘unsafe-inline’ per 'script-src' e 'style-src configurati con ‘unsafe-inline’. Queste impostazioni non possono essere modificate in ThingWorx. |