Arbeiten mit Plugins bei Verwendung von CSP

Einleitung

Die Content Security Policy (CSP) ist ein Sicherheitsstandard, der Bedrohungen wie Cross-Site-Scripting (XSS)-Angriffe usw. verhindern soll. Bei aktivierter CSP dürfen Inhalte nur aus freigegebenen Quellen geladen werden. Insbesondere werden Anfragen an Drittanbieter-Domains, die nicht ausdrücklich zugelassen wurden, unterbunden.

Wenn Sie ONLYOFFICE Docs (Enterprise Edition oder Developer Edition) in Ihre Weblösung integriert verwenden und CSP auf Ihrem Webserver aktiviert ist, um die Sicherheitsmaßnahmen zu verbessern, können die CSP-Standardeinstellungen einige Probleme verursachen. ONLYOFFICE Online-Editoren enthalten eine Reihe von Plugins, von denen einige Ressourcen von Drittanbietern verwenden und Anfragen an Domänen von Drittanbietern stellen, z.B. das YouTube-Plugin. Da CSP Anfragen an Domänen von Drittanbietern verbietet, wird die ordnungsgemäße Funktion von Plugins verhindert, z. B. wird das Laden von YouTube-Videos blockiert.

Hinzufügen von Drittanbieterdomänen zur Liste der zulässigen Quellen

Damit Plugins korrekt funktionieren, müssen Sie Anfragen an bestimmte Domänen zulassen (die vollständige Liste finden Sie unten). Dies erreichen Sie durch die Änderung des HTTP-Headers, der CSP aktiviert. Je nach verwendeter Lösung kann sich dieser Header in unterschiedlichen Dateien befinden. Diese Anleitung beschreibt die Grundprinzipien, nicht die Einzelfälle. Der Header sollte wie folgt aussehen:

Header set Content-Security-Policy "default-src 'self'; script-src 'self'; connect-src 'self';  img-src 'self'; style-src 'self';"

Diese Zeichenfolge enthält Anweisungen, die die zulässigen Quellen für verschiedene Inhaltstypen angeben: Skripte, Stylesheets, Schriftarten, Bilder, HTML5-Elemente <audio> oder <video> usw.

Die Direktive default-src wird angewendet, wenn für einen bestimmten Ressourcentyp keine Direktive angegeben ist.

‘self’ bedeutet, dass die Inhalte nur von der aktuellen Domäne geladen werden können.

Es ist notwendig, die Direktive default-src zu bearbeiten und die Werte der vertrauenswürdigen Domänen hinzuzufügen:

default-src 'self' *.trusted1.com *.trusted2.com

Dadurch können Anfragen an die angegebenen vertrauenswürdigen Domänen *.trusted1.com und *.trusted2.com sowie deren Subdomänen gestellt und Inhalte daraus geladen werden.

Liste der Domänen von Drittanbietern

Die folgenden Plugins stellen Anfragen an Drittdomänen:

PluginDomäne
cliparthttps://openclipart.org
Redehttps://code.responsivevoice.org
youtubehttps://www.youtube.com
thesaurushttps://words.bighugelabs.com
Übersetzerhttps://translate.yandex.net
ocrhttps://cdn.rawgit.com

Die folgenden oben aufgeführten Plugins sind standardmäßig in ONLYOFFICE Online-Editoren enthalten: ocr, Rede, thesaurus, Übersetzer, youtube.

Das Clipart-Plugin ist nicht in Online-Editoren enthalten, ist aber unter https://github.com/ONLYOFFICE/sdkjs-plugins verfügbar und Sie können es manuell zu Editoren hinzufügen.

Um alle genannten Domänen zur Liste der zulässigen Quellen hinzuzufügen, sollte der HTTP-Header folgendermaßen aussehen:

Header set Content-Security-Policy "default-src 'self' *openclipart.org *code.responsivevoice.org *www.youtube.com *words.bighugelabs.com *translate.yandex.net *cdn.rawgit.com; script-src 'self'; connect-src 'self'; img-src 'self'; style-src 'self';"
Wenn Sie zusätzlich ONLYOFFICE Enterprise Edition für die Verwendung von CSP konfiguriert und die Plugins wordpress und easybib aktiviert haben, müssen Sie auch die Domänen *wordpress.com und *easybib.com angeben.

Hosten ONLYOFFICE Docs auf Ihrem eigenen Server oder nutzen Sie es in der Cloud

Artikel zum Thema:
Alle Schlagwörter