Политика безопасности содержимого - настройки заголовка по умолчанию
Значения заголовка CSP - настройки по умолчанию
Следующие значения заголовка CSP являются значениями по умолчанию с ThingWorx. Дополнительные сведения о том, как администраторы могут обновлять конфигурацию заголовков CSP, см. в разделе Конфигурирование значений заголовка Content Security Policy.
|
Заголовок
|
Настройка по умолчанию
|
Заметки
|
||
|---|---|---|---|---|
|
default-src
|
'self'
|
Позволяет указать значения по умолчанию для резервных ресурсов, которые могут загружаться на страницу или вызываться на нее, такие как script-src, style-src и т. п.
|
||
|
connect-src
|
'self'
|
Защищает несколько механизмов браузера, которые могут вызывать HTTP-запросы. В том числе XMLHttpRequest (XHR/AJAX), WebSocket, fetch(), <a ping> или EventSource.
|
||
|
font-src
|
'self'
|
Охраняет загрузку шрифтов с помощью параметра @font-face.
|
||
|
frame-ancestors
|
'self'
|
Позволяет указать, какими родительскими URL-адресами может быть ограничен текущий ресурс. С помощью директивы CSP frame-ancestors можно разрешить или блокировать размещение страницы в кадре или iframe.
Если фильтрация Clickjack была сконфигурирована в web.xml и имел место перенос в CSP, для frame-ancestor задается значение 'self' и список разрешенных запросов определяется фильтром Clickjack.
|
||
|
frame-src
|
'self' tw-ra-client:
|
Управляет загрузкой кадров. Например, использование в HTML-документе тега HTML <iframe>.
|
||
|
img-src
|
'self'
|
Охраняет загрузку изображения. Например, использование тега HTML <img>.
|
||
|
media-src
|
'self'
|
Охраняет загрузку аудио и видео. Например, элементы HTML5 <audio> и <video>.
|
||
|
object-src
|
'self'
|
Указывает допустимые источники для элементов <object> и <embed>. Это включает функции подключаемых возможностей браузера, таких как элементы управления Flash, Java и ActiveX.
|
||
|
script-src
|
'self' 'unsafe-eval' 'unsafe-inline'
|
Охраняет загрузку и выполнение JavaScript.
|
||
|
style-src
|
'self' 'unsafe-inline'
|
Защищает загрузку и выполнение стилей CSS и таблиц стилей.
|
||
|
worker-src
|
'self'
|
 |
Эта заметка относится к object-src.
Обычно при изменении директивы CSP комбинируются настройка по умолчанию и новые настройки, а потому значение, вводимое в заголовок CSP, включает значения по умолчанию плюс новое значение. Например, значение frame-ancestors по умолчанию становится равным 'self'. Если обновить конфигурацию frame-ancestors для включения https://*.somedomain.com, то окончательным значением заголовка будет 'self' ‘https://*.somedomain.com’.
При активации для настройки object-src значения 'none' она ведет себя по-другому. Вместо этого обновление заменяет значение по умолчанию, если дополнить настройку по умолчанию обновлением администратора. Например, значение по умолчанию для object-src имеет вид 'self'. При обновлении object-src до https://*.somedomain.com директива, отправленная в CSP, будет иметь только значение https://*.somedomain.com. Если требуется включить 'self', необходимо явным образом сконфигурировать object-src как ‘https://*.somedomain.com' 'self’. Если конфигурация object-src включает 'none', она будет переопределять любые другие настройки. Таким образом, 'self' 'none' фактически работает как 'none'.
|