Content Security Policy (CSP)

Der CMI STS 3 verwendet standardmässig folgende CSP:

Header: Content-Security-Policy, X-Content-Security-Policy Werte:

default-src 'self';
object-src 'none';
frame-ancestors 'none';
sandbox allow-forms allow-same-origin allow-scripts;
base-uri 'self';
style-src 'self' 'unsafe-inline';

Header: X-Frame-Options Werte: SAMEORIGIN

Derzeit kann nur der Wert frame-ancestors per Konfiguration übersteuert werden. Dies ist für alle Mandanten auf globaler Ebene möglich, oder für jeden Mandanten einzeln. Eine Mandanten-spezifische Konfiguration überschreibt die globale Konfiguration.

{
    // Globale Konfiguration
    "Csp": {
        "FrameAncestors": ["'self'", "https://*.example.com"]
    },
    "Tenants": {
        "mandant": {
            "Csp": {
              // Mandanten-spezifische Konfiguration
            }
        }
    }
}

• Csp.FrameAncestors (optional, Standardwert: 'none'): Ein Array von Quellen, die Seiten einbetten dürfen. Siehe CSP: frame-ancestors bezüglich der Syntax der Quelleneinträge. Die einfachen Anführungszeichen für 'self' und 'none' sind erforderlich.