Content Security Policy (CSP) ist eine zusätzliche Sicherheitsebene, mit deren Hilfe bestimmte Arten von Angriffen erkannt und gemindert werden können, einschließlich Cross Site Scripting (XSS) - und Dateninjektionsangriffen. Diese Angriffe werden für alles verwendet, vom Datendiebstahl über die Verunstaltung von Websites bis hin zur Verbreitung von Malware.
Wenn Sie CSP auf Ihrer Website verwenden, müssen Sie die folgenden Regeln hinzufügen, damit Smartsupp ordnungsgemäß funktioniert:
CSP v3 - strikt, kompatibel mit Google
Content-Security-Policy:
object-src 'none';
script-src 'nonce-{random}' 'strict-dynamic' 'unsafe-inline' https: http:;
base-uri 'self';
report-uri https://your-report-collector.example.com/
CSP v2
Content-Security-Policy:
connect-src:
wss://*.smartsupp.com
https://*.smartsupp.com
https://*.smartsuppchat.com
https://*.smartsuppcdn.com
font-src:
https://*.smartsuppcdn.com
media-src:
https://*.smartsuppcdn.com
img-src:
data:
https://*.smartsuppcdn.com
script-src:
'unsafe-inline'
https://*.smartsuppchat.com
https://*.smartsuppcdn.com
style-src:
'unsafe-inline'
https://*.smartsuppcdn.com
Changelog
2020-04-17: Folgendes hinzugefügt
connect-src:
https://*.smartsuppchat.com
https://*.smartsuppcdn.com
2020-09-22: Folgendes entfernt
connect-src:
https://smartsupp-widget-161959.c.cdn77.org
font-src:
https://smartsupp-widget-161959.c.cdn77.org
media-src:
https://smartsupp-widget-161959.c.cdn77.org
img-src:
https://smartsupp-widget-161959.c.cdn77.org
script-src:
https://smartsupp-widget-161959.c.cdn77.org
style-src:
https://smartsupp-widget-161959.c.cdn77.org