Content Security Policy (CSP) ist ein Sicherheitsstandard, der einige Bedrohungen wie Cross-Site Scripting (XSS)-Angriffe usw. verhindern soll. Wenn CSP aktiviert ist, können nur Inhalte aus genehmigten Quellen geladen werden. Sie verbietet insbesondere Anfragen auf nicht ausdrücklich erlaubte Domains von Drittanbietern.

Wenn Sie ONLYOFFICE Docs (Enterprise Edition oder Developer Edition) verwenden, die in Ihre Weblösung integriert ist, und CSP auf Ihrem Webserver aktiviert ist, um die Sicherheitsmaßnahmen zu verbessern, können die CSP-Standardeinstellungen einige Probleme verursachen. ONLYOFFICE Online-Editoren enthalten eine Reihe von Plugins, von denen einige Ressourcen von Drittanbietern verwenden und Anfragen an Domains von Drittanbietern stellen, z.B. das YouTube-Plugin. Da CSP Anfragen an Drittanbieter-Domains verbietet, verhindert dies, dass Plugins ordnungsgemäß funktionieren, z.B. das Laden von YouTube-Videos blockieren.

Hinzufügen von Drittanbieter-Domains zur Liste der zulässigen Quellen

Damit Plugins richtig funktionieren, müssen Sie Anfragen an bestimmte Domains zulassen (die vollständige Liste der Domains finden Sie unten). Dies kann durch Ändern des HTTP-Headers erfolgen, der CSP aktiviert. Je nach verwendeter Lösung kann sich dieser Header in verschiedenen Dateien befinden. Diese Anleitung beschreibt die Grundprinzipien, nicht die Einzelfälle. Der Header sollte so aussehen:

Header set Content-Security-Policy "default-src 'self'; script-src 'self'; connect-src 'self';  img-src 'self'; style-src 'self';"

Dieser String enthält Direktiven, die die zulässigen Quellen für verschiedene Inhaltstypen angeben: Skripte, Stylesheets, Schriftarten, Bilder, HTML5 <audio> oder <video> Elemente usw.

Die Direktive default-src wird angewendet, wenn keine Direktive für einen bestimmten Ressourcentyp angegeben ist.

‘self’ bedeutet, dass die Inhalte nur von der aktuellen Domain geladen werden können.

Es ist notwendig, die Direktive default-src zu bearbeiten und die vertrauenswürdigen Domainwerte hinzuzufügen:

default-src 'self' *.trusted1.com *.trusted2.com

Dadurch können Anfragen an die angegebenen vertrauenswürdigen Domains *.trusted1.com und *.trusted2.com einschließlich ihrer Subdomains gestellt und Inhalte von diesen geladen werden.

Domainliste von Drittanbietern

Die folgenden Plugins stellen Anfragen an Drittanbieter-Domains:

Plugin	Domain
`clipart`	https://openclipart.org
`speech`	https://code.responsivevoice.org
`youtube`	https://www.youtube.com
`synonim`	https://words.bighugelabs.com
`translate`	https://translate.yandex.net
`ocr`	https://cdn.rawgit.com

Die folgenden Plugins aus den oben aufgeführten Plugins sind standardmäßig in ONLYOFFICE Online-Editoren enthalten: ocr, speech, synonim, translate, youtube.

Das Plugin clipart ist nicht in Online-Editoren enthalten, aber es ist unter https://github.com/ONLYOFFICE/sdkjs-plugins verfügbar und Sie können es manuell den Editoren hinzufügen.

Um alle genannten Domains in die Liste der erlaubten Quellen aufzunehmen, sollte der HTTP-Header so aussehen:

Header set Content-Security-Policy "default-src 'self' *openclipart.org *code.responsivevoice.org *www.youtube.com *words.bighugelabs.com *translate.yandex.net *cdn.rawgit.com; script-src 'self'; connect-src 'self'; img-src 'self'; style-src 'self';"

Wenn Sie die ONLYOFFICE Enterprise Edition zusätzlich für die Verwendung von CSP konfiguriert und die Plugins wordpress und easybib aktiviert haben, müssen Sie auch die Domains *wordpress.com und *easybib.com angeben.

Herunterladen Auf Ihrem eigenen Server hosten Verfügbar für
Docker, Windows und Linux

Wer sich dafür interessiert hat,
hat auch das Folgende gelesen:

Schließen

Artikel zum Thema:

Changelog

Hilfe-Center

ONLYOFFICE Docs Developer Edition

Arbeiten mit Plugins bei Verwendung von CSP

Einletung

Hinzufügen von Drittanbieter-Domains zur Liste der zulässigen Quellen

Domainliste von Drittanbietern