Info
Inhalt

Inhaltssicherheitsrichtlinie (CSP)

Websites, die eine Content Security Policy (CSP) auf ihrer Website implementieren, sollten einige Regeln befolgen, um sicherzustellen, dass die consentmanager Consent Layer funktioniert weiterhin.

CSP-Regeln

Der consentmanager Consent Layer lädt Inhalte über verschiedene Datentypen und Mechanismen, abhängig von den Einstellungen und der Verwendung des Codes. Außerdem ruft es Skripte auf verschiedene Weise auf:

  • Das System fügt hinzu <script src="..."> Elemente zur Seite
  • Das System fügt hinzu <script>...</script> Elemente zur Seite
  • Das System fügt hinzu <style>...</style> Elemente zur Seite
  • Das System fügt hinzu <link ...> Elemente zur Seite
  • Das System fügt hinzu <img ...> Elemente zur Seite
  • Das System fügt hinzu <iframe ...> Elemente zur Seite
  • Das System lädt Inhalte mithilfe von CORS (window.XMLHttpRequest)
  • Das System verwendet <... onclick="...">
  • Das System verwendet @font-face Schriftarten laden

Das System wird niemals Folgendes verwenden:

  • Das System verwendet nicht eval()
  • Das System verwendet nicht var x = new Function(....)
  • Das System verwendet keine String-Argumente für setTimeout or setInterval (z.B setTimeout("dosomething()")), werden immer Funktionsargumente verwendet
  • Das System verwendet nicht <a href="javascript:...">...</a>wird es immer verwenden onclick

Um dies zu ermöglichen, ist der einfachste Weg, einen CSP zu verwenden, die gesamte consentmanager Domäne für alle Elemente:

Content-Security-Policy: default-src 'self' https://*.consentmanager.net;

Hinweis: Wenn Sie eine benutzerdefinierte Domäne verwenden, müssen Sie diese Domäne in Ihrem CSP auf die Whitelist setzen.

Wenn Sie einen restriktiveren CSP verwenden möchten, können Sie Folgendes verwenden:

Content-Security-Policy: default-src 'self'; 
                         connect-src 'self' https://*.consentmanager.net; 
                         frame-src 'self' https://*.consentmanager.net; 
                         img-src 'self' https://*.consentmanager.net; 
                         script-src 'self' https://*.consentmanager.net;
                         style-src 'self' https://*.consentmanager.net;
                         font-src 'self' https://*.consentmanager.net;

Nonces und Skriptintegrität

Da das System weitere Skripte hinzufügt, nicht unterstützt für Nonce- und Integritätsattribute.

Nach oben