Page History
...
Finnassa on käytössä (tai 21.9.2021 tilanteen mukaan tulossa pian voimaan) Content Security Policy (CSP), jonka tarkoituksena on ehkäistä mahdollisten haavoittuvuuksien (esim. XSS) hyödyntämismahdollisuuksia. Tämän seurauksena mitä tahansa skriptiä ei sallita suoritettavaksi, vaan skriptien lisäämiseksi on noudatettava seuraavia ohjeita. CSP:n räätälöinnistä esim. chat-palveluille on erillinen ohjesivu.
Omiin sivupohjiin on mahdollista lisätä JavaScriptiä esim. chat-upokkeita varten. Lisäyksiä ei kuitenkaan tehdä suoraan script-tagilla (lukuunottamatta erikoistapausta alempana), vaan pitää käyttää headScript- tai inlineScript-metodia, jotta skripti saa tarvittavan nonce-tiedon turvallista suorittamista varten. Skriptejä, joilla ei ole noncea, tai jotka eivät ole hyväksyttyjen listalla, ei hyväksytä suoritettavaksi.
...
Finnassa on oletuksena melko tiukat säännöt, jotka sallivat lähinnä sellaisten skriptien lataamisen, joissa script-tagissa on oikea nonce. Näitä sääntöjä voi laajentaa omilla säännöillä local/config/vufind/contentsecuritypolicy.ini-tiedostossa. Pohjaksi kannattaa kopioida contentsecuritypolicy.ini.sample -tiedosto, joka sisältää esimerkkisääntöjä useille chat-palveluille ym. ulkoisille lähteilleCSP:n räätälöinnistä esim. chat-upokkeita varten on erillinen ohjesivu.
Näkymän sisäisen skriptin lisääminen
...
