Záhlaví CSP

Umístění konfigurace
Nastavení hlaviček CSP
Příklad konfigurace
- Základní konfigurace CSP
- Výchozí konfigurace CSP v Team assistant
Nejlepší postupy

Content Security Policy (CSP) je bezpečnostní mechanismus, který pomáhá chránit webové aplikace před útoky, jako je Cross-Site Scripting (XSS) a dalšími hrozbami vkládání kódu. CSP umožňuje správcům definovat, které zdroje – jako jsou skripty, styly a obrázky – lze načíst a spustit na stránce. Vynucením CSP snižuje Team assistant riziko ohrožení aplikace škodlivým kódem.

Umístění konfigurace

Nastavení CSP lze konfigurovat v Team assistant v sekci Konfigurace , konkrétně v záložce Zabezpečení . Tato sekce obsahuje všechny dostupné bezpečnostní hlavičky.

Cesta:

.../administration/configuration/security

Upozornění : Nesprávné nastavení může zablokovat celý TAS. V ideálním případě konfigurujte pouze v případě, že máte přístup k databázi, aby bylo možné napravit případný zámek na TAS. V DB se to týká tabulky CONFIG a VAR_NAME security.csp.[název]

Nastavení hlaviček CSP

Podrobná vysvětlení a příklady konfigurace jednotlivých hlaviček CSP naleznete v dokumentaci balíčku Helmet npm .

Chcete-li nakonfigurovat CSP v aplikaci Team assistant, vložte do konfigurace objekt contentSecurityPolicy jako JSON. Ujistěte se, že struktura JSON je platná, přidáním dvojitých uvozovek kolem klíčů a hodnot a odstraněním všech přebytečných čárek.

Příklad konfigurace

Základní konfigurace CSP

{
 "directives": {
 "script-src": ["'self'", "example.com"],
 "style-src": null
 }
 }

Výchozí konfigurace CSP v Team assistant

//csp.contentSecurityPolicy
 {
 "directives": {
 "default-src": ["'self'"],
 "script-src": ["'self'"],
 "style-src": ["'self'"],
 "img-src": ["'self'"],
 "font-src": ["'self'"],
 "connect-src": ["'self'"],
 "frame-ancestors": ["'self'"],
 "base-uri": ["'self'"],
 "form-action": ["'self'"],
 "object-src": ["'none'"],
 "media-src": ["'self'"],
 "worker-src": ["'self'"],
 "child-src": ["'self'"],
 "manifest-src": ["'self'"]
 }
 }

 //csp.crossOriginEmbedderPolicy

 {"Cross-Origin-Embedder-Policy": "require-corp"}

 //csp.crossOriginOpenerPolicy
 { "Cross-Origin-Opener-Policy": "same-origin"}

 // csp.crossOriginResourcePolicy
 {"Cross-Origin-Resource-Policy": "same-origin"}

 //csp.originAgentCluster
 true

 //csp.referrerPolicy
 { "Referrer-Policy": "no-referrer-when-downgrade"}

 //csp.strictTransportSecurity
 { "Strict-Transport-Security": {
 "max-age": 31536000,
 "includeSubDomains": true,
 "preload": true
 }}

 //csp.xContentTypeOptions
 true

 //csp.xDnsPrefetchControl
 {"X-DNS-Prefetch-Control": "off"}

 //csp.xDownloadOptions
 true

 //csp.xFrameOptions
 { "X-Frame-Options": "DENY"}

 //csp.xPermittedCrossDomainPolicies
 {"X-Permitted-Cross-Domain-Policies": "none"}

 //csp.xPoweredBy
 true

 //csp.xXssProtection
 true

Nejlepší postupy

Testování ve vývojovém prostředí – Než použijete zásady CSP v produkci, otestujte je ve vývojovém nebo pracovním prostředí, abyste zabránili uzamčení uživatelů.
Nejprve použijte režim CSP pouze pro sestavy – Před prosazením přísných zásad použijte režim CSP pouze pro sestavy ke shromažďování potenciálních problémů bez blokování obsahu.
Postupně zvyšujte omezení – Začněte se základní zásadou a postupně utahujte omezení, když identifikujete nezbytné výjimky.
Pravidelně kontrolujte zprávy CSP – Sledujte zprávy o blokovaných zdrojích a podle toho upravte zásady.

Správnou konfigurací CSP v Team assistant mohou správci výrazně zvýšit zabezpečení a minimalizovat rizika spojená se spouštěním škodlivého kódu.

Updated 5/3/25 by Anna Gernát

Sekvence

Logy

(opens in a new tab)