Die CSP-Funktion (Content Security Policy, Richtlinie zur Inhaltssicherheit) reduziert die Gefährdungen durch eine umfangreiche Klasse von Sicherheitslücken beim Einfügen von Inhalten, wie z. B. beim Cross-Site Scripting (XSS), durch die Bereitstellung von Richtlinienanweisungen für kompatible Browser. Diese Funktion ist standardmäßig aktiviert. Sie können die Konfiguration der Richtlinienanweisungen durch Hinzufügen von Einträgen zur Datei locked.properties ändern.

Tabelle 1. CSP-Eigenschaften
Eigenschaft Werttyp Master-Standardeinstellung Sonstige Standardeinstellungen
enableCSP true

false

true n/a
content-security-policy directives-list default-src 'self';script-src 'self' 'unsafe-inline' 'unsafe-eval' data:;style-src 'self' 'unsafe-inline';font-src 'self' data: ;frame-ancestors 'none'

admin=default-src 'self' https://feedback.esp.vmware.com;script-src https://feedback.esp.vmware.com 'unsafe-inline' 'unsafe-eval';style-src 'self' 'unsafe-inline';font-src 'self' data:;img-src 'self' data:;connect-src 'self' https:;frame-ancestors 'none'

portal = default-src 'self';script-src 'self' 'unsafe-inline' 'unsafe-eval' data:;style-src 'self' 'unsafe-inline';font-src 'self' data:;img-src 'self' data: blob:;media-src 'self' blob:;connect-src 'self' wss:;frame-src 'self' blob:;child-src 'self' blob:;object-src 'self' blob:;frame-ancestors 'self'

rest = default-src 'self';script-src 'self' 'unsafe-inline' 'unsafe-eval' data:;style-src 'self' 'unsafe-inline';font-src 'self' data:;img-src 'self' data:;connect-src 'self' https:;frame-ancestors 'none'

x-content-type-options OFF

specification

nosniff n/a
x-frame-options OFF

specification

deny portal = sameorigin
x-xss-protection OFF

specification

1; mode=block n/a
Sie können CSP-Eigenschaften zur Datei locked.properties hinzufügen. Beispiele für CSP-Eigenschaften:
enableCSP = true
content-security-policy = default-src 'self';script-src 'self' 'unsafe-inline' 'unsafe-eval' data:;style-src 'self'
 'unsafe-inline';font-src 'self' data:
content-security-policy-newadmin = default-src 'self';script-src 'self' 'unsafe-inline' 'unsafe-eval' data:;style-src 'self'
 'unsafe-inline';font-src 'self' data:;img-src 'self' data:;connect-src 'self' https:
content-security-policy-portal = default-src 'self';script-src 'self' 'unsafe-inline' 'unsafe-eval' data:;style-src 'self' 
'unsafe-inline';font-src 'self' data:;img-src 'self' data: blob:;media-src 'self' blob:;connect-src 'self' wss:;frame-src 
'self' blob:;child-src 'self' blob:;object-src 'self' blob:
x-content-type-options = nosniff
x-frame-options = deny
x-frame-options-portal = sameorigin
x-xss-protection = 1; mode=block