Säkerhetspolicy för innehåll

21 apr 14:04
Ett steg i vår anpassning till webbtillgänglighetslagen är att följa de riktlinjer som finns för att göra innehållet på sidorna säkra, det kallas för "Content Security Policy" och syftet med det är att säkra upp så att alla kod, script och stilar som används på sidan kommer från en pålitlig källa.
Varför?
Det man vill undvika är injektion av kod i en sida som kan köra script till exempel. Script på en sida anges med en "script"-tag, och så körs den av din webbläsare. Men tänk om en person på något sätt lyckas få in en script-tag på er sida, antingen via ett formulär, eller så kallad social engineering: "Hej, ni har ett stavfel på er sida, så här ska det stå: "långt textstycke med en script-tag i slutet" som någon hos er bara klistrar in i adminläget.
Så för att motverka detta så finns det en säkerhetspolicy för innehållet, vilket betyder att webservern rapporterar till webbläsaren vilka script från vilka källor som är tillåtna.
Så när er webbplats använder ett typsnitt som hämtas från Adobe's Typekit, så måste Atlas godkänna det ursprunget, och för just typsnitt så görs det automatiskt för just Adobe- och Google-typsnitt.
Beta fram till 1 maj
Detta är en betafunktion fram till 1 maj då den lanseras skarpt, fram tills dess bör ni ha aktiverat documentation Betaläge och kontrollerat om era externa funktioner fortfarande funkar
Vad måste jag göra?
Men i vissa fall så har ni script-kod på er sida som inflikar en chattfunktion för kundtjänst till exempel, eller analyskod som inte är Google Analytics (om ni använder Google Analytics så sker tillåtelsen automatiskt, se den här texten om varför ni kanske inte ska använda Analytics).
Ni måste kolla i er webbläsares utvecklarkonsoll för eventuella meddelanden om att något inte laddades på grund av den här säkerhetspolicyn. Ett meddelande kan till exempel se ut så här: "Refused to load embed.tawk.to... because it does not appear in the script-src directive of the Content Security Policy"
I så fall så måste ni gå till Atlas CMSInställningarSidan och där fälla ut avsnittet om Säkerhetspolicy för innehåll. Då ser ni en rad med textrutor för olika typer av domäner som ni kan tillåta. varje textruta ska vara en kommaseparerad lista med domäner som ni vill tillåta, i det här fallet "embed.tawk.to" i fältet för Script.
Dock så kan detta leda till nya felmeddelanden. Vi tillåter script från "embed.tawk.to" men det scriptet i sin tur försöker ladda ett script från en annan domän, så vi får detta felmeddelande: "Refused to load static-v.tawk.to... because it does not appear in the script-src directive of the Content Security Policy." så då måste vi även lägga till "static-v.tawk.to" i Scriptfältet. Alternativt så kan vi lägga till "*.tawk.to" så vi tillåter alla underdomäner.
Det kan också komma upp meddelanden om att scriptet försöker ladda bilder, koppla upp sig mot domäner och liknande. Så vi måste anpassa alla dessa tills vi inte får något felmeddelande.
Det funkar ändå inte!
Det här med att säkra upp ursprunget på innehåll på webben är en djungel, och även om man har fyllt i rätt här så finns det andra inställningar som kan behöva göras för att det ska fungera. Kontakta oss i supportloggen om er statistik eller chattfunktion inte längre fungerar så ska vi kolla på det och se vad som behöver göras.