Zur Verbesserung der Sicherheit ist im Prozess-Portal ein Konfigurationsparameter enthalten, der Cross-Site Scripting (XSS) und andere browserseitige Angriffe unterbindet. Mit einem Konfigurationsparameter werden vordefinierte externe policy-directives zugelassen oder deaktiviert.
Diese Konfiguration des Webservers ist eine Möglichkeit, um die Abwehr-Maßnahme Content Security Policy umzusetzen. Der Vorteil hinter diesem Sicherheitsstandard ist, dass im Browser Regeln hinterlegt werden, die festlegen welche Skripte die Software laden darf und welche nicht.
Derzeit im Prozess-Portal vordefinierte policy-directives:
default-src 'self' 'unsafe-inline' 'unsafe-eval'
data: blob: *.mapbox.com .etask.de alcdn.msftauth.net login.microsoftonline.com wss://.etask.de;
Die relevanten Konfigurationsparameter CONTENTSECURITYPOLICY und CONTENTSECURITYPOLICYAKTIV findest du unter Systemsteuerung - Portal-Optionen - Systemkonfiguration.
