Login

Try consentmanager
Book a call

Content Security Policy (CSP)

Websites, die eine Content Security Policy (CSP) auf ihrer Website implementieren, sollten einige Regeln befolgen, um sicherzustellen, dass die Consent Layer von Consentmanager weiterhin funktioniert.

CSP-Regeln

Der Consent Layer von Consentmanager lädt Inhalte über verschiedene Datentypen und Mechanismen, je nach den Einstellungen und der Verwendung des Codes. Er ruft Skripte zudem auf verschiedene Arten auf:

  • Das System fügt <script src="..."> der Seite Elemente hinzu
  • Das System fügt <script>...</script> der Seite Elemente hinzu
  • Das System fügt <style>...</style> der Seite Elemente hinzu
  • Das System fügt <link ...> der Seite Elemente hinzu
  • Das System fügt <img ...> der Seite Elemente hinzu
  • Das System fügt <iframe ...> der Seite Elemente hinzu
  • Das System lädt Inhalte mithilfe von CORS (window.XMLHttpRequest)
  • Das System verwendet <... onclick="...">
  • Das System wird @font-face zum Laden von Schriftarten

Das System wird niemals Folgendes verwenden:

  • Das System wird nicht verwenden eval()
  • Das System wird nicht verwenden var x = new Function(....)
  • Das System verwendet keine String-Argumente für setTimeout oder setInterval (z. B. setTimeout("dosomething()")), es verwendet immer Funktionsargumente
  • Das System verwendet <a href="javascript:...">...</a>, es wird immer onclick

Um dies zu ermöglichen, ist es bei Verwendung eines CSP am einfachsten, die gesamte Consentmanager-Domain für alle Elemente zu aktivieren:

Content-Security-Policy: default-src 'self' https://*.consentmanager.net;

Hinweis: Wenn du eine benutzerdefinierte Domain verwendest, musst du diese Domain in deinem CSP auf die Whitelist setzen.
Wenn du unser Accessibility Widget verwendest, musst du https://*.acsbapp.com auf die Whitelist setzen.

Wenn Sie ein restriktiveres CSP verwenden möchten, können Sie Folgendes nutzen:

Content-Security-Policy: default-src 'self'; 
                         connect-src 'self' https://*.consentmanager.net; 
                         frame-src 'self' https://*.consentmanager.net; 
                         img-src 'self' https://*.consentmanager.net; 
                         script-src 'self' https://*.consentmanager.net;
                         style-src 'self' https://*.consentmanager.net;
                         font-src 'self' https://*.consentmanager.net;

Nonces & Skriptintegrität

Da das System weitere Skripte hinzufügt, unterstützt es keine Nonce- und Integritätsattribute.

We do our best to keep this purely informative documentation up to date. However, if you notice that any of these guides need a little touch-up, let us know!