Damit Plugins richtig funktionieren, müssen Sie Anfragen an bestimmte Domains zulassen (die vollständige Liste der Domains finden Sie unten). Dies kann durch Ändern des HTTP-Headers erfolgen, der CSP aktiviert. Je nach verwendeter Lösung kann sich dieser Header in verschiedenen Dateien befinden. Diese Anleitung beschreibt die Grundprinzipien, nicht die Einzelfälle. Der Header sollte so aussehen:
Header set Content-Security-Policy "default-src 'self'; script-src 'self'; connect-src 'self'; img-src 'self'; style-src 'self';"
Dieser String enthält Direktiven, die die zulässigen Quellen für verschiedene Inhaltstypen angeben: Skripte, Stylesheets, Schriftarten, Bilder, HTML5 <audio>
oder <video>
Elemente usw.
Die Direktive default-src
wird angewendet, wenn keine Direktive für einen bestimmten Ressourcentyp angegeben ist.
‘self’
bedeutet, dass die Inhalte nur von der aktuellen Domain geladen werden können.
Es ist notwendig, die Direktive default-src
zu bearbeiten und die vertrauenswürdigen Domainwerte hinzuzufügen:
default-src 'self' *.trusted1.com *.trusted2.com
Dadurch können Anfragen an die angegebenen vertrauenswürdigen Domains *.trusted1.com
und *.trusted2.com
einschließlich ihrer Subdomains gestellt und Inhalte von diesen geladen werden.