Zum Hauptinhalt gehen

Docebo Hilfe

Wie können wir helfen?

Konfigurieren der Content Security Policy (CSP) der Plattform

Zuletzt aktualisiert
Docebo-Modul
Lesezeit
Benutzerlevel
  • Administrators

Einleitung 

Um die Sicherheit Ihrer Plattform zu erhöhen, können Sie Content Security Policy (CSP)-Kopfzeilen aktivieren.

CSP hilft dabei, das Ausführen bösartiger Skripte zu verhindern, indem gesteuert wird, welche Quellen JavaScript in Ihrer Umgebung laden und ausführen dürfen.

Diese Funktion ist optional und muss manuell in Ihren Einstellungen aktiviert werden. Wir empfehlen dringend, sie zu aktivieren, um die Gesamtsicherheit Ihrer Plattform zu verbessern.

CSP-Kopfzeilen aktivieren

So aktivieren und konfigurieren Sie CSP-Kopfzeilen:

  1. Gehen Sie zu Admin-Menü > EINSTELLUNGEN > Erweiterte Einstellungen.
  2. Wählen Sie im linken Navigationsbereich Erweiterte Optionen aus.
  3. Scrollen Sie zum Abschnitt Sicherheitsbezogen und suchen Sie CSP-Kopfzeilen.
  4. Aktivieren Sie das Kontrollkästchen Externe JavaScript-Quellen blockieren, mit Ausnahme von in der Zulassungsliste aufgeführten Websites.
  5. Geben Sie unter Zulassungsliste für externe JavaScript-Quellen die URLs vertrauenswürdiger Domains ein, die JavaScript laden dürfen.
    • Sie können bis zu 5 URLs hinzufügen
    • Platzhalterzeichen werden unterstützt (z. B. https://*.force.com)
  6. Klicken Sie auf Speichern, um Ihre Änderungen anzuwenden.

Wie CSP-Kopzeilen funktionieren

Externe Skripte

Skripte, die von externen Quellen (wie CDNs) geladen werden, laufen nur, wenn deren Domain in Ihrer Zulassungsliste enthalten ist.

Skripte von nicht gelisteten Quellen werden automatisch blockiert.

Inline-Skripte

Inline-Skripte (JavaScript, das direkt im HTML geschrieben ist) funktionieren weiterhin mithilfe eines Sicherheitsnonce – ein eindeutiges, einmalig verwendetes Token, das automatisch zu Ihrer Seite hinzugefügt wird. Dies stellt sicher, dass Inline-Skripte vertrauenswürdig sind und sicher ausgeführt werden können.

Bitte beachten Sie: Wenn ein Inline-Skript dynamisch weitere Skripte lädt, müssen diese Skripte entweder:
- Von einer Domain auf der Zulassungsliste geladen werden 
- Den gleichen Sicherheitsnonce erben (siehe Kapitel Sicherheitsnonce weitergeben)

Sicherheitsnonce weitergeben

Wenn Ihr Inline-Skript dynamisch neue <script> Elemente erstellt, müssen Sie Ihren Code aktualisieren, um den Nonce weiterzugeben. Nachfolgend ein Beispiel, wie Sie Ihr Skript entsprechend anpassen.

Ursprüngliches Skript:

const script = document.createElement('script');
script.setAttribute('src','SOME_SCRIPT_URL');
document.querySelector('head').appendChild(script);

Aktualisiertes Skript mit Nonce-Unterstützung:

const script = document.createElement('script');
script.setAttribute('src','SOME_SCRIPT_URL');
if (document.currentScript.nonce) {
  script.setAttribute('nonce', document.currentScript.nonce);
}
document.querySelector('head').appendChild(script);

Dies stellt sicher, dass das dynamisch geladene Skript ebenfalls vertrauenswürdig ist und gemäß Ihrer CSP-Konfiguration ausgeführt werden darf.