Content Security Policy

HTTP-Header zur Erhöhung der Sicherheit durch Manipulation am Browser können mit folgendem Filter in der web.xml der jeweiligen Webapplikation gesetzt werden. Die DLE benötigt zur korrekten Funktionsweise vor allem im Javascript-Bereich eine sehr laxe Content-Security-Policy (CSP), da ja Inhalte durch Brickentwickler laufend verändert werden können.

	<filter>
		<filter-name>DLEContentSecurityPolicyFilter</filter-name>
		<filter-class>at.visionflow.dle.server.DLEContentSecurityPolicyFilter</filter-class>
		<init-param>
			<param-name>script-src</param-name>
			<param-value>'unsafe-inline' 'self' 'unsafe-eval'</param-value>
		</init-param>
		<init-param>
			<param-name>media-src</param-name>
			<param-value>'self'</param-value>
		</init-param>
	</filter>
		<filter-mapping>
		<filter-name>DLEContentSecurityPolicyFilter</filter-name>
		<url-pattern>*</url-pattern>
	</filter-mapping>

Folgend die Liste der zulässigen CSP-Parameter, die als init-param für den Filter verwendet werden können:

• default-src
• script-src
• style-src
• img-src
• connect-src
• font-src
• object-src
• media-src
• frame-src
• child-src
• worker-src
• manifest-src
• prefetch-src
• navigate-to
• frame-ancestors
• form-action
• base-uri plugin-types
• require-sri-for
• upgrade-insecure-requests
• block-all-mixed-content
• sandbox
• report-uri
• report-to trusted-types

Für weitere Informationen zu diesen Einträgen siehe hier: https://developer.mozilla.org/en-US/docs/Web/HTTP/Reference/Headers/Content-Security-Policy