Die CSP-Funktion (Content Security Policy, Richtlinie zur Inhaltssicherheit) reduziert die Gefährdungen durch eine umfangreiche Klasse von Sicherheitslücken beim Einfügen von Inhalten, wie z. B. beim Cross-Site Scripting (XSS), durch die Bereitstellung von Richtlinienanweisungen für kompatible Browser. Diese Funktion ist standardmäßig aktiviert. Sie können die Konfiguration der Richtlinienanweisungen durch Hinzufügen von Einträgen zur Datei locked.properties ändern.
Eigenschaft | Werttyp | Master-Standardeinstellung | Sonstige Standardeinstellungen |
---|---|---|---|
enableCSP | true false |
true | n/a |
content-security-policy | directives-list | default-src 'self';script-src 'self' 'unsafe-inline' 'unsafe-eval' data:;style-src 'self' 'unsafe-inline';font-src 'self' data: ;frame-ancestors 'none' | admin=default-src 'self' https://feedback.esp.vmware.com;script-src https://feedback.esp.vmware.com 'unsafe-inline' 'unsafe-eval';style-src 'self' 'unsafe-inline';font-src 'self' data:;img-src 'self' data:;connect-src 'self' https:;frame-ancestors 'none' portal = default-src 'self';script-src 'self' 'unsafe-inline' 'unsafe-eval' data:;style-src 'self' 'unsafe-inline';font-src 'self' data:;img-src 'self' data: blob:;media-src 'self' blob:;connect-src 'self' wss:;frame-src 'self' blob:;child-src 'self' blob:;object-src 'self' blob:;frame-ancestors 'self' rest = default-src 'self';script-src 'self' 'unsafe-inline' 'unsafe-eval' data:;style-src 'self' 'unsafe-inline';font-src 'self' data:;img-src 'self' data:;connect-src 'self' https:;frame-ancestors 'none' |
x-content-type-options | OFF specification |
nosniff | n/a |
x-frame-options | OFF specification |
deny | portal = sameorigin |
x-xss-protection | OFF specification |
1; mode=block | n/a |
enableCSP = true content-security-policy = default-src 'self';script-src 'self' 'unsafe-inline' 'unsafe-eval' data:;style-src 'self' 'unsafe-inline';font-src 'self' data: content-security-policy-newadmin = default-src 'self';script-src 'self' 'unsafe-inline' 'unsafe-eval' data:;style-src 'self' 'unsafe-inline';font-src 'self' data:;img-src 'self' data:;connect-src 'self' https: content-security-policy-portal = default-src 'self';script-src 'self' 'unsafe-inline' 'unsafe-eval' data:;style-src 'self' 'unsafe-inline';font-src 'self' data:;img-src 'self' data: blob:;media-src 'self' blob:;connect-src 'self' wss:;frame-src 'self' blob:;child-src 'self' blob:;object-src 'self' blob: x-content-type-options = nosniff x-frame-options = deny x-frame-options-portal = sameorigin x-xss-protection = 1; mode=block