Die CSP-Funktion (Content Security Policy, Richtlinie zur Inhaltssicherheit) reduziert die Gefährdungen durch eine umfangreiche Klasse von Sicherheitslücken beim Einfügen von Inhalten, wie z. B. beim Cross-Site Scripting (XSS), durch die Bereitstellung von Richtlinienanweisungen für kompatible Browser. Diese Funktion ist standardmäßig aktiviert. Sie können die Konfiguration der Richtlinienanweisungen durch Hinzufügen von Einträgen zur Datei locked.properties ändern.

Tabelle 1. CSP-Eigenschaften

Eigenschaft

Werttyp

Master-Standardeinstellung

Sonstige Standardeinstellungen

enableCSP

true

false

true

n/a

content-security-policy

directives-list

default-src 'self';script-src 'self' 'unsafe-inline' 'unsafe-eval' data:;style-src 'self' 'unsafe-inline';font-src 'self' data:

portal=child-src 'self' blob:;default-src 'self';connect-src 'self' wss:;font-src 'self' data:;img-src 'self' data: blob:;media-src 'self' blob:;object-src 'self' blob:;script-src 'self' 'unsafe-inline' 'unsafe-eval' data:;style-src 'self' 'unsafe-inline';frame-ancestors 'self'

x-frame-options

OFF

specification

deny

portal=sameorigin

x-content-type-options

OFF

specification

nosniff

n/a

x-xss-protection

OFF

specification

1; mode=block

n/a

Sie können CSP-Eigenschaften zur Datei locked.properties hinzufügen. Beispiele für CSP-Eigenschaften:

enableCSP = true
content-security-policy = default-src 'self';script-src 'self' data:
content-security-policy-portal = default-src 'self';frame-ancestors 'self'
x-frame-options = deny
x-frame-options-portal = sameorigin
x-xss-protection = 1; mode=block