- Startseite
- Docs
- Installation und Konfiguration
- Developer
- Docker-Version
- Arbeiten mit Plugins bei Verwendung von CSP
Arbeiten mit Plugins bei Verwendung von CSP
Einleitung
Die Content Security Policy (CSP) ist ein Sicherheitsstandard, der Bedrohungen wie Cross-Site-Scripting (XSS)-Angriffe usw. verhindern soll. Bei aktivierter CSP dürfen Inhalte nur aus freigegebenen Quellen geladen werden. Insbesondere werden Anfragen an Drittanbieter-Domains, die nicht ausdrücklich zugelassen wurden, unterbunden.
Wenn Sie ONLYOFFICE Docs (Enterprise Edition oder Developer Edition) in Ihre Weblösung integriert verwenden und CSP auf Ihrem Webserver aktiviert ist, um die Sicherheitsmaßnahmen zu verbessern, können die CSP-Standardeinstellungen einige Probleme verursachen. ONLYOFFICE Online-Editoren enthalten eine Reihe von Plugins, von denen einige Ressourcen von Drittanbietern verwenden und Anfragen an Domänen von Drittanbietern stellen, z.B. das YouTube-Plugin. Da CSP Anfragen an Domänen von Drittanbietern verbietet, wird die ordnungsgemäße Funktion von Plugins verhindert, z. B. wird das Laden von YouTube-Videos blockiert.
Hinzufügen von Drittanbieterdomänen zur Liste der zulässigen Quellen
Damit Plugins korrekt funktionieren, müssen Sie Anfragen an bestimmte Domänen zulassen (die vollständige Liste finden Sie unten). Dies erreichen Sie durch die Änderung des HTTP-Headers, der CSP aktiviert. Je nach verwendeter Lösung kann sich dieser Header in unterschiedlichen Dateien befinden. Diese Anleitung beschreibt die Grundprinzipien, nicht die Einzelfälle. Der Header sollte wie folgt aussehen:
Header set Content-Security-Policy "default-src 'self'; script-src 'self'; connect-src 'self'; img-src 'self'; style-src 'self';"Diese Zeichenfolge enthält Anweisungen, die die zulässigen Quellen für verschiedene Inhaltstypen angeben: Skripte, Stylesheets, Schriftarten, Bilder, HTML5-Elemente <audio> oder <video> usw.
Die Direktive default-src wird angewendet, wenn für einen bestimmten Ressourcentyp keine Direktive angegeben ist.
‘self’ bedeutet, dass die Inhalte nur von der aktuellen Domäne geladen werden können.
Es ist notwendig, die Direktive default-src zu bearbeiten und die Werte der vertrauenswürdigen Domänen hinzuzufügen:
default-src 'self' *.trusted1.com *.trusted2.comDadurch können Anfragen an die angegebenen vertrauenswürdigen Domänen *.trusted1.com und *.trusted2.com sowie deren Subdomänen gestellt und Inhalte daraus geladen werden.
Liste der Domänen von Drittanbietern
Die folgenden Plugins stellen Anfragen an Drittdomänen:
| Plugin | Domäne |
|---|---|
clipart | https://openclipart.org |
Rede | https://code.responsivevoice.org |
youtube | https://www.youtube.com |
thesaurus | https://words.bighugelabs.com |
Übersetzer | https://translate.yandex.net |
ocr | https://cdn.rawgit.com |
Die folgenden oben aufgeführten Plugins sind standardmäßig in ONLYOFFICE Online-Editoren enthalten: ocr, Rede, thesaurus, Übersetzer, youtube.
Das Clipart-Plugin ist nicht in Online-Editoren enthalten, ist aber unter https://github.com/ONLYOFFICE/sdkjs-plugins verfügbar und Sie können es manuell zu Editoren hinzufügen.
Um alle genannten Domänen zur Liste der zulässigen Quellen hinzuzufügen, sollte der HTTP-Header folgendermaßen aussehen:
Header set Content-Security-Policy "default-src 'self' *openclipart.org *code.responsivevoice.org *www.youtube.com *words.bighugelabs.com *translate.yandex.net *cdn.rawgit.com; script-src 'self'; connect-src 'self'; img-src 'self'; style-src 'self';"wordpress und easybib aktiviert haben, müssen Sie auch die Domänen *wordpress.com und *easybib.com angeben.