Content Security Policy konfigurieren

Sie sehen sich die Dokumentation zu Apigee Edge an.
Sehen Sie sich die Apigee X-Dokumentation an.
info

Sie können CSPs für alle Seiten in Ihrem Portal konfigurieren, um sich vor Cross-Site-Scripting (XSS) und anderen Code-Injection-Angriffen zu schützen. Die CSP definiert vertrauenswürdige Quellen für Inhalte wie Skripts, Stile und Bilder. Nachdem Sie eine Richtlinie konfiguriert haben, werden Inhalte, die aus nicht vertrauenswürdigen Quellen geladen werden, von Ihrem Browser blockiert.

Die CSP wird allen Seiten in Ihrem Portal so als Content-Security-Policy-HTTP-Antwortheader hinzugefügt:

Content-Security-Policy: policy

Sie definieren die Richtlinie mit Anweisungen, wie auf der W3C-Website unter Content Security Policy Directives definiert.

Wenn Sie den CSP-Header aktivieren, wird standardmäßig die folgende CSP-Anweisung definiert:

default-src 'unsafe-eval' 'unsafe-inline' * data:

Die Anweisung default-src konfiguriert die Standardrichtlinie für Ressourcentypen, die keine konfigurierte Anweisung haben.

In der folgenden Tabelle werden die Richtlinien beschrieben, die als Teil der Standardanweisung definiert sind.

Richtlinie Zugriff
'unsafe-inline' Inline-Ressourcen wie Inline-<script>-Elemente, javascript:-URLs, Inline-Ereignis-Handler und Inline-<style>-Elemente Hinweis: Die Richtlinie muss in einfache Anführungszeichen gesetzt werden.
'unsafe-eval' Unsichere dynamische Codeauswertung wie JavaScript-eval() und ähnliche Methoden, mit denen Code aus Strings erstellt wird. Hinweis: Die Richtlinie muss in einfache Anführungszeichen gesetzt werden.
* (wildcard) Alle URLs außer data:-, blob:- und filesystem:-Schemas.
data: Ressourcen, die über das Datenschema geladen werden (z. B. Base64-codierte Bilder)

Im Folgenden finden Sie Beispiele für die Konfiguration der CSP, um bestimmte Ressourcentypen einzuschränken.

Richtlinie Zugriff
default-src 'none' Kein Zugriff auf Ressourcentypen, für die keine Anweisung konfiguriert wurde.
img-src * Bild-URL aus einer beliebigen Quelle.
media-src https://example.com/ Video- oder Audio-URL über HTTPS aus der Domain example.com.
script-src *.example.com Ausführung eines beliebigen Skripts aus einer Subdomain von example.com.
style-src 'self' css.example.com Anwendung eines beliebigen Stils aus dem Ursprung der Website oder aus der Domain css.example.com.

So konfigurieren Sie eine Content Security Policy:

  1. Wählen Sie Veröffentlichen > Portale und anschließend dein Portal aus.
  2. Wählen Sie im Drop-down-Menü der oberen Navigationsleiste Einstellungen aus.
  3. Klicken Sie alternativ auf der Landingpage des Portals auf Einstellungen.
  4. Klicken Sie auf den Tab Sicherheit.
  5. Klicken Sie auf Content Security Policy aktivieren.
  6. Konfigurieren Sie die CSP oder übernehmen Sie die Standard-CSP.
  7. Klicken Sie auf Speichern.

Sie können die Standard-CSP jederzeit wiederherstellen, indem Sie auf Standard wiederherstellen klicken.