Einführung / Konfiguration des FirstSpirit-Servers / Konfigurationsdateien (FirstSpirit-Server) / FirstSpirit-Server (fs-server.conf) / CSP-Header
Bereich: CSP header
securityFilter.ContentSecurityPolicyHeader
Indem eine Content Security Policy über den CSP-Header festgelegt wird, können die erlaubten Quellen von Inhalten wie Skripten, Stylesheets, Bildern, Schriftarten und mehr definiert werden.
Der CSP-Header kann über den SecurityFilter mit Hilfe des Parameters ContentSecurityPolicyHeader konfiguriert werden. Dadurch kann das Verhalten des CSP-Headers für die FirstSpirit-Webanwendung fs5root (Startseite) gesteuert werden.
Standardwert:
securityFilter.ContentSecurityPolicyHeader=default-src 'self'; object-src 'none'; style-src 'self'; form-action 'self'; script-src 'self' 'nonce-$NONCE' $UPGRADE_INSECURE $FRAME_ANCESTORS
Folgende Platzhalter können in der Konfiguration verwendet werden:
- $NONCE - der für den aktuellen HTTP-Request gültige Nonce-Wert
- $FRAME_ANCESTORS - erlaubte Frame-Einbettung gemäß des frameOptionsHeader Properties aus der fs-server.conf.
Die Ersetzung mit Default-Einstellungen: ; frame-ancestors 'self'
Ist ALLOW_ALL eingestellt, ist die Ersetzung ein Leerstring. - $UPGRADE_INSECURE - upgrade-insecure-requests gemäß dem, was für den SecurityFilter im Parameter TransportSecurity eingestellt ist bzw. dessen Standardwert.
Der Standardwert ist KEEP_SECURE.
Die Ersetzung mit Default-Einstellungen:- bei einem HTTPS-Request: ; upgrade-insecure-requests
- bei einem HTTP-Request ist die Ersetzung ein Leerstring
Eine Konfiguration von CSP-Header kann auch per -D Startparameter in der fs-isolated-wrapper.conf
wrapper.java.additional.##=-DsecurityFilter.ContentSecurityPolicyHeader=...
oder über die Systemvariable SecurityFilter_ContentSecurityPolicyHeader gesetzt werden, wobei die Systemvariable die niedrigste Priorität hat.