Intestazione
|
Impostazione di default
|
Note
|
||
---|---|---|---|---|
default-src
|
‘self’
|
Consente di specificare il valore di default delle risorse di fallback che è possibile caricare o recuperare nella pagina, ad esempio script-src, style-src e così via.
|
||
connect-src
|
‘self’
|
Protegge diversi meccanismi del browser che possono recuperare richieste HTTP. Ad esempio XMLHttpRequest (XHR/AJAX), WebSocket, fetch(), <un ping> o EventSource.
|
||
font-src
|
‘self’
|
Protegge il caricamento dei caratteri utilizzando @font-face.
|
||
frame-ancestors
|
‘self’
|
Consente di specificare quali URL padre possono eseguire il frame della risorsa corrente. Utilizzando la direttiva CSP frame-ancestors, è possibile bloccare o consentire il posizionamento di una pagina in un frame o un iframe.
Se in web.xml è stato configurato il filtro contro il clickjacking e successivamente è stata eseguita la migrazione alla CSP, frame-ancestor è impostato su 'self' e nel filtro viene definito l'elenco degli elementi consentiti.
|
||
frame-src
|
‘self’ tw-ra-client:
|
Controlla il caricamento dei frame utilizzando ad esempio un tag HTML <iframe> all'interno di un documento HTML.
|
||
img-src
|
‘self’
|
Protegge il caricamento di immagini utilizzando ad esempio un tag <img> HTML.
|
||
media-src
|
‘self’
|
Protegge il caricamento di audio e video, ad esempio elementi <audio> e <video> HTML5.
|
||
object-src
|
‘self’
|
Specifica le origini valide degli elementi <object> e <embed>. Sono comprese le funzionalità di plug-in del browser come i controlli Flash, Java e ActiveX.
|
||
script-src
|
‘self’ ‘unsafe-eval’ ‘unsafe-inline’
|
Protegge il caricamento e l'esecuzione di JavaScript.
|
||
style-src
|
‘self’ 'unsafe-inline’
|
Protegge il caricamento e l'esecuzione fogli di stile e stili CSS.
|
||
worker-src
|
‘self’
|
![]() |
Questa nota si riferisce a object-src.
In genere, quando si modifica una direttiva CSP, le impostazioni predefinite e le nuove impostazioni vengono combinate in modo che il valore inserito nell'intestazione CSP includa sia il valore di default sia la nuova impostazione. Ad esempio, l'impostazione di default di frame-ancestors è 'self'. Se si aggiorna la configurazione di frame-ancestors in modo che includa https://*.somedomain.com, il valore finale dell'intestazione è 'self' ‘https://*.somedomain.com’.
Per impostare object-src su 'none', il comportamento è diverso. Quando invece l'impostazione di default si integra con l'aggiornamento dell'amministratore, il valore di default viene sostituito dall'aggiornamento. Ad esempio, l'impostazione di default per object-src è 'self'. Se si aggiorna object-src in https://*.somedomain.com, la direttiva inviata alla CSP sarà solo https://*.somedomain.com. Se si desidera includere 'self', è necessario eseguire in modo esplicito la configurazione di object-src in ‘https://*.somedomain.com' 'self’. Se la configurazione di object-src include 'none', quest'ultima sostituisce qualsiasi altra impostazione, pertanto 'self' 'none' di fatto sarà 'none'.
|