Einführung / Konfiguration des FirstSpirit-Servers / Konfigurationsdateien (FirstSpirit-Server) / FirstSpirit-Server (fs-server.conf) / JumpToServlet and Webedit ForwardAction
Bereich: JumpToServlet and Webedit ForwardAction
| Inhaltsverzeichnis |
Weiterleitungen im Bereich der Client-Server-Kommunikation werden vom FirstSpirit-Server aus Sicherheitsgründen eingeschränkt.
Über den optionalen Parameter allowedRedirectHosts können URLs definiert werden, zu denen eine Weiterleitung erlaubt werden soll.
Der ContentCreator unterstützt Local Network Access (LNA) in der Vorschau. Der Zugriff auf interne Netzwerkadressen kann für ausgewählte Hostnamen über den Parameter webedit.preview.allowLocalNetworkAccess konfiguriert werden.
allowedRedirectHosts
An einigen Stellen in FirstSpirit werden Redirect-URLs erzeugt (z. B. Verweise aus Remote-Projekte in der Vorschau oder für die ContentCreator-Vorschau), die potenziell auch auf externe URLs verweisen können, z. B.
http://localhost:5100/jump?url=http://www.heise.de
oder
http://localhost:5100/fs5webedit/Dispatcher?project=1183078&language=
DE&weAction=Forward&forward=http://www.heise.de
Über den optionalen Parameter allowedRedirectHosts können URLs definiert werden, zu denen eine Weiterleitung erlaubt werden soll. Folgende Modi sind dabei möglich:
allowedRedirectHosts=ALLOW_ALL
Es sind Weiterleitungen an alle URLs ohne Einschränkungen erlaubt.
allowedRedirectHosts=fs.mywebsite.de,heise.de,intranet.mywebsite.de
Auf diese Weise kann eine Whitelist der erlaubten Ziele erstellt werden. Die erlaubten URLs werden dabei mit Komma separiert angegeben.
allowedRedirectHosts=FS_SERVER
Es wird eine Whitelist der erlaubten URLs aus folgenden Quellen erstellt:
- fs-server.conf, Parameter
- in den Server-Eigenschaften konfigurierte Web-Server (siehe Webserver).
Dies ist die Standard-Einstellung.
Wird versucht, eine nicht erlaubte URL aufzurufen, wird der HTTP-Statuscode 403 (mit der Fehlerursache „Forbidden request host:“) ausgegeben.
webedit.preview.allowLocalNetworkAccess
Chromium-basierte Browser (Chrome, Edge ab Version 142) blockieren standardmäßig Anfragen aus eingebetteten Frames an private bzw. interne Netzwerkadressen (Local Network Access). Mit diesem Parameter kann eine kommaseparierte Liste von Hostnamen konfiguriert werden, für die der Zugriff auf das lokale Netzwerk aus der ContentCreator-Vorschau erlaubt wird.
Analog zum Parameter allowedRedirectHosts können Wildcards verwendet werden.
Standardmäßig ist der Parameter nicht gesetzt und Local Network Access ist deaktiviert.
Beispiel:
webedit.preview.allowLocalNetworkAccess=*.example.com,localhost
Spezifikation und Hintergrund:
- WICG — Local Network Access: https://wicg.github.io/local-network-access/
- W3C — Permissions Policy: https://www.w3.org/TR/permissions-policy/
Sicherheitshinweis: Die Aktivierung führt zur Deaktivierung eines absichtlich implementierten Browserschutzmechanismus für die betroffenen Vorschau-Domains. Sollte eine Vorschau-Anwendung oder eine dort eingebundene Drittressource kompromittiert werden, besteht die Möglichkeit, dass aus dem Browser des Redakteurs heraus interne Netzwerkdienste zugänglich sind.
Verwendung von Wildcards bei der Konfiguration von Redirect-URLs
Bei der Konfiguration können Platzhaltersymbole (Wildcards) genutzt werden. Diese Wildcards können sowohl für die oberste Subdomain als auch innerhalb einer Subdomain genutzt werden.
Beispiele für erlaubte Wildcard sind:
*.example.com
first*.example.com
*spirit.example.com
f*spirit.example.com
firstspirit.*xample.com
Nicht erlaubt sind:
- Wildcards bei der Angabe von IP-Adressen,
- mehrere Wildcards in einer Definition oder
- das Ersetzen einer gesamten Subdomain durch eine Wildcard.
Beispiel für nicht erlaubte Definitionen:
*.168.1.1
f*spir*.example.com
firstspirit.*.com
*.com
*