Einführung / Konfiguration des FirstSpirit-Servers / Konfigurationsdateien (FirstSpirit-Server) / FirstSpirit-Server (fs-server.conf) / CSP-Header

Bereich: CSP header

securityFilter.ContentSecurityPolicyHeader

Indem eine Content Security Policy über den CSP-Header festgelegt wird, können die erlaubten Quellen von Inhalten wie Skripten, Stylesheets, Bildern, Schriftarten und mehr definiert werden.

Der CSP-Header kann über den SecurityFilter mit Hilfe des Parameters ContentSecurityPolicyHeader konfiguriert werden. Dadurch kann das Verhalten des CSP-Headers für die FirstSpirit-Webanwendung fs5root (Startseite) gesteuert werden.

Standardwert:

securityFilter.ContentSecurityPolicyHeader=default-src 'self'; object-src 'none'; style-src 'self'; form-action 'self'; script-src 'self' 'nonce-$NONCE' $UPGRADE_INSECURE $FRAME_ANCESTORS

Folgende Platzhalter können in der Konfiguration verwendet werden:

  • $NONCE - der für den aktuellen HTTP-Request gültige Nonce-Wert
  • $FRAME_ANCESTORS - erlaubte Frame-Einbettung gemäß des frameOptionsHeader Properties aus der fs-server.conf.
    Die Ersetzung mit Default-Einstellungen: ; frame-ancestors 'self'
    Ist ALLOW_ALL eingestellt, ist die Ersetzung ein Leerstring.
  • $UPGRADE_INSECURE - upgrade-insecure-requests gemäß dem, was für den SecurityFilter im Parameter TransportSecurity eingestellt ist bzw. dessen Standardwert.
    Der Standardwert ist KEEP_SECURE.
    Die Ersetzung mit Default-Einstellungen:
    • bei einem HTTPS-Request: ; upgrade-insecure-requests
    • bei einem HTTP-Request ist die Ersetzung ein Leerstring

Eine Konfiguration von CSP-Header kann auch per -D Startparameter in der fs-isolated-wrapper.conf

wrapper.java.additional.##=-DsecurityFilter.ContentSecurityPolicyHeader=...

oder über die Systemvariable SecurityFilter_ContentSecurityPolicyHeader gesetzt werden, wobei die Systemvariable die niedrigste Priorität hat.

© 2005 - 2024 Crownpeak Technology GmbH | Alle Rechte vorbehalten. | FirstSpirit 2024.6 | Datenschutz