Inhaltssicherheitsrichtlinie (CSP)
Websites, die eine Content Security Policy (CSP) auf ihrer Website implementieren, sollten einige Regeln befolgen, um sicherzustellen, dass die consentmanager Consent Layer funktioniert weiterhin.
CSP-Regeln
Der consentmanager Consent Layer lädt Inhalte über verschiedene Datentypen und Mechanismen, abhängig von den Einstellungen und der Verwendung des Codes. Außerdem ruft es Skripte auf verschiedene Weise auf:
- Das System fügt hinzu
<script src="...">
Elemente zur Seite - Das System fügt hinzu
<script>...</script>
Elemente zur Seite - Das System fügt hinzu
<style>...</style>
Elemente zur Seite - Das System fügt hinzu
<link ...>
Elemente zur Seite - Das System fügt hinzu
<img ...>
Elemente zur Seite - Das System fügt hinzu
<iframe ...>
Elemente zur Seite - Das System lädt Inhalte mithilfe von CORS (
window.XMLHttpRequest
) - Das System verwendet
<... onclick="...">
- Das System verwendet
@font-face
Schriftarten laden
Das System wird niemals Folgendes verwenden:
- Das System verwendet nicht
eval()
- Das System verwendet nicht
var x = new Function(....)
- Das System verwendet keine String-Argumente für
setTimeout
orsetInterval
(z.BsetTimeout("dosomething()")
), werden immer Funktionsargumente verwendet - Das System verwendet nicht
<a href="javascript:...">...</a>
wird es immer verwendenonclick
Um dies zu ermöglichen, ist der einfachste Weg, einen CSP zu verwenden, die gesamte consentmanager Domäne für alle Elemente:
Content-Security-Policy: default-src 'self' https://*.consentmanager.net;
Hinweis: Wenn Sie eine benutzerdefinierte Domäne verwenden, müssen Sie diese Domäne in Ihrem CSP auf die Whitelist setzen.
Wenn Sie einen restriktiveren CSP verwenden möchten, können Sie Folgendes verwenden:
Content-Security-Policy: default-src 'self';
connect-src 'self' https://*.consentmanager.net;
frame-src 'self' https://*.consentmanager.net;
img-src 'self' https://*.consentmanager.net;
script-src 'self' https://*.consentmanager.net;
style-src 'self' https://*.consentmanager.net;
font-src 'self' https://*.consentmanager.net;
Nonces und Skriptintegrität
Da das System weitere Skripte hinzufügt, nicht unterstützt für Nonce- und Integritätsattribute.