Bereich: CSP header

securityFilter.ContentSecurityPolicyHeader

Indem eine Content Security Policy über den CSP-Header festgelegt wird, können die erlaubten Quellen von Inhalten wie Skripten, Stylesheets, Bildern, Schriftarten und mehr definiert werden.

Der CSP-Header kann über den SecurityFilter mit Hilfe des Parameters ContentSecurityPolicyHeader konfiguriert werden. Dadurch kann das Verhalten des CSP-Headers für die FirstSpirit-Webanwendung fs5root (Startseite) gesteuert werden.

Standardwert:

securityFilter.ContentSecurityPolicyHeader=default-src 'self'; object-src 'none'; style-src 'self'; form-action 'self'; script-src 'self' 'nonce-$NONCE' $UPGRADE_INSECURE $FRAME_ANCESTORS

Folgende Platzhalter können in der Konfiguration verwendet werden:

• $NONCE - der für den aktuellen HTTP-Request gültige Nonce-Wert
• $FRAME_ANCESTORS - erlaubte Frame-Einbettung gemäß des frameOptionsHeader Properties aus der fs-server.conf.
  Die Ersetzung mit Default-Einstellungen: ; frame-ancestors 'self'
  Ist ALLOW_ALL eingestellt, ist die Ersetzung ein Leerstring.
• $UPGRADE_INSECURE - upgrade-insecure-requests gemäß dem, was für den SecurityFilter im Parameter TransportSecurity eingestellt ist bzw. dessen Standardwert.
  Der Standardwert ist KEEP_SECURE.
  Die Ersetzung mit Default-Einstellungen:
  • bei einem HTTPS-Request: ; upgrade-insecure-requests
  • bei einem HTTP-Request ist die Ersetzung ein Leerstring

Eine Konfiguration von CSP-Header kann auch per -D Startparameter in der fs-isolated-wrapper.conf

wrapper.java.additional.##=-DsecurityFilter.ContentSecurityPolicyHeader=...

oder über die Systemvariable SecurityFilter_ContentSecurityPolicyHeader gesetzt werden, wobei die Systemvariable die niedrigste Priorität hat.