Content Security Policy - Impostazioni di default delle intestazioni
Valori delle intestazioni CSP - Impostazioni di default
Di seguito sono riportati i valori di default delle intestazioni CSP per ThingWorx. Per ulteriori informazioni su come gli amministratori possono aggiornare la configurazione delle intestazioni CSP, vedere Configurazione dei valori delle intestazioni Content Security Policy.
|
Intestazione
|
Impostazione di default
|
Note
|
||
|---|---|---|---|---|
|
default-src
|
‘self’
|
Consente di specificare il valore di default delle risorse di fallback che è possibile caricare o recuperare nella pagina, ad esempio script-src, style-src e così via.
|
||
|
connect-src
|
‘self’
|
Protegge diversi meccanismi del browser che possono recuperare richieste HTTP. Ad esempio XMLHttpRequest (XHR/AJAX), WebSocket, fetch(), <un ping> o EventSource.
|
||
|
font-src
|
‘self’
|
Protegge il caricamento dei caratteri utilizzando @font-face.
|
||
|
frame-ancestors
|
‘self’
|
Consente di specificare quali URL padre possono eseguire il frame della risorsa corrente. Utilizzando la direttiva CSP frame-ancestors, è possibile bloccare o consentire il posizionamento di una pagina in un frame o un iframe.
Se in web.xml è stato configurato il filtro contro il clickjacking e successivamente è stata eseguita la migrazione alla CSP, frame-ancestor è impostato su 'self' e nel filtro viene definito l'elenco degli elementi consentiti.
|
||
|
frame-src
|
‘self’ tw-ra-client:
|
Controlla il caricamento dei frame utilizzando ad esempio un tag HTML <iframe> all'interno di un documento HTML.
|
||
|
img-src
|
‘self’
|
Protegge il caricamento di immagini utilizzando ad esempio un tag <img> HTML.
|
||
|
media-src
|
‘self’
|
Protegge il caricamento di audio e video, ad esempio elementi <audio> e <video> HTML5.
|
||
|
object-src
|
‘self’
|
Specifica le origini valide degli elementi <object> e <embed>. Sono comprese le funzionalità di plug-in del browser come i controlli Flash, Java e ActiveX.
|
||
|
script-src
|
‘self’ ‘unsafe-eval’ ‘unsafe-inline’
|
Protegge il caricamento e l'esecuzione di JavaScript.
|
||
|
style-src
|
‘self’ 'unsafe-inline’
|
Protegge il caricamento e l'esecuzione fogli di stile e stili CSS.
|
||
|
worker-src
|
‘self’
|
 |
Questa nota si riferisce a object-src.
In genere, quando si modifica una direttiva CSP, le impostazioni predefinite e le nuove impostazioni vengono combinate in modo che il valore inserito nell'intestazione CSP includa sia il valore di default sia la nuova impostazione. Ad esempio, l'impostazione di default di frame-ancestors è 'self'. Se si aggiorna la configurazione di frame-ancestors in modo che includa https://*.somedomain.com, il valore finale dell'intestazione è 'self' ‘https://*.somedomain.com’.
Per impostare object-src su 'none', il comportamento è diverso. Quando invece l'impostazione di default si integra con l'aggiornamento dell'amministratore, il valore di default viene sostituito dall'aggiornamento. Ad esempio, l'impostazione di default per object-src è 'self'. Se si aggiorna object-src in https://*.somedomain.com, la direttiva inviata alla CSP sarà solo https://*.somedomain.com. Se si desidera includere 'self', è necessario eseguire in modo esplicito la configurazione di object-src in ‘https://*.somedomain.com' 'self’. Se la configurazione di object-src include 'none', quest'ultima sostituisce qualsiasi altra impostazione, pertanto 'self' 'none' di fatto sarà 'none'.
|