Content Security Policy (CSP) und Custom Scripts
Die Content Security Policy (CSP) ist eine wichtige Sicherheitsrichtlinie für moderne Webanwendungen. Sie steuert genau, welche externen Inhalte (wie Skripte, Stylesheets oder Bilder) von einer Webseite geladen oder ausgeführt werden dürfen. Durch CSP wird das Risiko von Cross-Site Scripting (XSS) und ähnlichen Angriffen deutlich reduziert.
Auswirkungen auf Custom Scripts im TheFlex Industry Browser
Im TheFlex Industry Browser können Custom Scripts eingesetzt werden, um Funktionalitäten zu erweitern oder eigene Integrationen zu realisieren. Ist jedoch eine CSP aktiviert, kann kein Custom Script injiziert werden, solange diese Richtlinie dies nicht explizit erlaubt.
Bitte beachten Sie:
- Ein Eintrag wie
https://localhost/cordova.jsin Ihrer CSP reicht aus, um Cordova-Plugins korrekt im TheFlex Browser zu nutzen. - Es ist nicht notwendig oder empfehlenswert, in der CSP alle Quellen oder Skripte zuzulassen.
- Die präzise Konfiguration der CSP sorgt für optimale Sicherheit in Ihrer Anwendung.
Hinweis:
Weitere Informationen zur CSP-Konfiguration finden Sie auch direkt in der SAP-Hilfe-Dokumentation
und im SAP Community Artikel zu CSPs in S/4HANA Cloud.
FAQ: Häufige Fragen zu CSP und Custom Scripts
Frage:
Warum wird mein benutzerdefiniertes Script im TheFlex Browser nicht ausgeführt?
Antwort:
Wahrscheinlich verhindert eine aktive Content Security Policy (CSP) das Ausführen von nicht explizit erlaubten Scripts. Prüfen Sie, ob https://localhost/cordova.js in Ihrer CSP vorhanden ist, und passen Sie die Richtlinie ggf. an.
Frage:
Ist es sicher, alle Scripte für Custom Code freizuschalten?
Antwort:
Nein, aus Sicherheitsgründen sollten Sie nur die unbedingt notwendigen Quellen (z.B. https://localhost/cordova.js) erlauben. Zu offene Richtlinien erhöhen das Risiko für Angriffe wie XSS.
Mehr Informationen zur technischen Umsetzung finden Sie im Custom Script Artikel, wo detailliert auf die Nutzung und Absicherung eingegangen wird.