Diese Anleitung richtet sich an Website-Administratoren, die eine Content Security Policy (CSP) auf ihrer Website verwenden.
Da eine CSP es Website-Administratoren ermöglicht, anzugeben, welche Domains der Browser als gültige Quellen für ausführbare Skripte betrachten soll. Daher führt ein CSP-kompatibler Browser nur Skripte aus, die in Quelldateien geladen sind, welche von diesen Whitelist-Domains empfangen wurden, wobei alle anderen Skripte ignoriert werden.
Wie Sie sich vorstellen können, kann dies zu Konflikten mit unserer Datenschutz- und Cookie-Richtlinie, unseren AGBs, Privacy Controls and Cookie Solution- und Consent Database-Skripten führen; es gibt jedoch eine unkomplizierte Lösung.
Hier erfahren Sie, wie Sie unsere Datenschutz- und Cookie-Richtlinien, AGBs, Privacy Controls and Cookie Solution- und Consent Database-Skripte auf die Whitelist setzen können, damit diese mit Ihrem CSP richtig funktionieren:
Zuerst müssen Sie eine kryptographische Nonce (einmal verwendete Zahl) verwenden und dem iubenda script-Tag ein nonce -Wert muss mit einem Wert in der Liste der vertrauenswürdigen Quellen übereinstimmen. Zum Beispiel:
<script type="text/javascript" nonce="EDNnf03nceIOfn39fn3e9h3sdfa">
//iubenda snippet
</script>Fügen Sie nun die Nonce zu Ihrer Direktive script-src , angehängt an das nonce-Schlüsselwort
Content-Security-Policy: script-src 'nonce-EDNnf03nceIOfn39fn3e9h3sdfa'So wird zum Beispiel im Fall der Privacy Controls and Cookie Solution die Implementierung in etwa so aussehen:
<script type="text/javascript" nonce="EDNnf03nceIOfn39fn3e9h3sdfa">
var _iub = _iub || [];
_iub.csConfiguration = {
"lang": "en",
"siteId": 12345678
"cookiePolicyId": 12345678
"banner": {
"position": "float-top-center",
"acceptButtonDisplay": true,
"customizeButtonDisplay": true
}
};
</script>
<script type="text/javascript" src="//cdn.iubenda.com/cs/iubenda_cs.js" charset="UTF-8" async></script>Bitte beachten Sie, dass die Nonce nur dem Inline-Skript hinzugefügt wurde. Wir werden im nächsten Schritt sehen, wie mit externen Skripten umgegangen wird.
Denken Sie daran, dass nonces für jede Seitenanforderung neu generiert werden müssen und das diese unkalkulierbar sein müssen.
Damit externe Skripte von iubenda geladen werden können, müssen Sie auch Inhalte aus der Domäne und den Subdomänen von iubenda zulassen. Hier erfahren Sie, wie Sie das Dokument Content Security Policy konfigurieren:
Content-Security-Policy:
default-src 'self';
script-src 'self' *.iubenda.com 'nonce-EDNnf03nceIOfn39fn3e9h3sdfa' 'unsafe-eval';
connect-src *.iubenda.com;
style-src 'unsafe-inline' *.iubenda.com;
frame-src *.iubenda.com;
img-src *.iubenda.com data:Und damit sind Sie fertig. Weitere Informationen über CSP und gängige Anwendungsfälle finden Sie unter MDN Web Docs (auf Englisch).