Page History
...
Finnassa on oletuksena melko tiukat säännöt, jotka sallivat lähinnä sellaisten skriptien lataamisen, joissa script-tagissa on oikea nonce. Näitä sääntöjä voi laajentaa omilla säännöillä local/config/vufind/contentsecuritypolicy.ini
-tiedostossa. Pohjaksi kannattaa kopioida contentsecuritypolicy.ini.sample
-tiedosto, joka sisältää esimerkkisääntöjä useille chat-palveluille ym. ulkoisille lähteille.
Info |
---|
Ulkoisia palveluita ei ole sallittu oletuksena, koska lista on sen verran pitkä, että se kasvattaisi jokaisen Finnan HTTP-vastauksen otsikkotietoja huomattavasti. Samasta syystä on hyvä pitää oman näkymän säännötkin mahdollisimman suppeina. |
Sääntöjä laadittaessa on huomioitava lisäksi seuraavat seikat:
- Joissain tilanteissa 'strict-dynamic' ratkaisisi skriptiketjun lataamisen, mutta se ei toimi esim. Applen Safari-selaimella.
- CSP on suunniteltu niin, että uudemmat säännöt yliajavat vanhemmat säännöt selaimilla, jotka tukevat niitä. Näin ollen esim. 'strict-dynamic'-sääntö poistaa käytöstä sivustokohtaiset osoitteet.
Sääntöjen toiminnan varmistaminen
...