Informatie
Beschrijving
Boeken
CMP
Overige technische informatie ...
Inhoudsbeveiligingsbeleid...

Inhoudsbeveiligingsbeleid (CSP)

Websites die een Content Security Policy (CSP) op hun website implementeren, moeten zich aan een aantal regels houden om ervoor te zorgen dat de consentmanager De toestemmingslaag blijft werken.

CSP-regels

De consentmanager De Consent Layer laadt content via verschillende gegevenstypen en mechanismen, afhankelijk van de instellingen en het gebruik van de code. Het roept ook scripts op verschillende manieren aan:

  • Het systeem zal toevoegen <script src="..."> elementen naar de pagina
  • Het systeem zal toevoegen <script>...</script> elementen naar de pagina
  • Het systeem zal toevoegen <style>...</style> elementen naar de pagina
  • Het systeem zal toevoegen <link ...> elementen naar de pagina
  • Het systeem zal toevoegen <img ...> elementen naar de pagina
  • Het systeem zal toevoegen <iframe ...> elementen naar de pagina
  • Het systeem laadt inhoud met behulp van CORS (window.XMLHttpRequest)
  • Het systeem zal gebruiken <... onclick="...">
  • Het systeem zal gebruiken @font-face om lettertypen te laden

Het systeem zal nooit gebruiken:

  • Het systeem zal niet gebruiken eval()
  • Het systeem zal niet gebruiken var x = new Function(....)
  • Het systeem zal geen tekenreeksargumenten gebruiken voor setTimeout or setInterval (bv setTimeout("dosomething()")), zal altijd functie-argumenten gebruiken
  • Het systeem zal niet gebruiken <a href="javascript:...">...</a>, het zal altijd gebruiken onclick

Om bovenstaande mogelijk te maken, is de eenvoudigste manier om een ​​CSP te gebruiken het inschakelen van de gehele consentmanager domein voor alle elementen:

Content-Security-Policy: default-src 'self' https://*.consentmanager.net;

Let op: Als u een aangepast domein gebruikt, moet u dit domein op de witte lijst zetten in uw CSP.

Als u een restrictievere CSP wilt gebruiken, kunt u het volgende gebruiken:

Content-Security-Policy: default-src 'self'; 
                         connect-src 'self' https://*.consentmanager.net; 
                         frame-src 'self' https://*.consentmanager.net; 
                         img-src 'self' https://*.consentmanager.net; 
                         script-src 'self' https://*.consentmanager.net;
                         style-src 'self' https://*.consentmanager.net;
                         font-src 'self' https://*.consentmanager.net;

Nonces en scriptintegriteit

Omdat het systeem andere scripts zal toevoegen, zal het systeem ondersteunt voor nonce- en integriteitskenmerken.

Details
Herziening # 1
Gemaakt 1 maand geleden by jan
Bijgewerkt 1 maand geleden by jan
Paginanavigatie
  • CSP-regels
  • Nonces en scriptintegriteit
    • Heeft u nog geen account hebt?

    Word AVG-compatibel met onze AVG-cookie Consent Manager oplossing. Probeer nu gratis!

    AVG-cookie Consent Manager
    Terug naar boven