Skip to main content
OCLC Support

OPEN - Content Security Policy

  1. Last updated
  2. Save as PDF

Was ist die Content Security Policy (Richtlinie zur Sicherheit von Inhalten)?

OPEN verfügt über eine individuelle Content Security Policy. Dieses Sicherheitskonzept schützt sowohl Websites als auch Internetnutzer.
Deshalb muss das Einbinden von fremden Inhalten in OPEN ab sofort explizit freigeschaltet werden.

Diese Einstellung erfolgt im OPEN SettingsModule. Erweitern Sie in der seitlichen Persona Bar den Punkt Verwalten (Gekreuzte Schraubenschlüssel Symbol) und wählen Sie OCLC OPEN aus. Im OPEN SettingsModule erweitern Sie die Baumansicht bei OPEN.Settings und wählen Allgemeine Einstellungen.

Standardmäßig ist die Anzeige von fremden Inhalten deaktiviert, es sei denn sie werden für die Funktionen des OPEN benötigt. Externe Angebote, die bereits in OPEN eingebunden sind – wie z.B. Brockhaus oder die implementierten Coveranbieter – müssen nicht extra freigeschaltet werden.
Hinweis: Google Fonts werden immer geblockt! Der Bezug der Schriftart erfolgt DSGVO-konform von lokaler Quelle (KEIN Fehler).

Zum Hinzufügen einer neuen URL und der Konfiguration von dieser, suchen Sie nach dem Punkt Content Security Policy und klicken Sie auf das Stiftsymbol.
Die Option "Aktiviert" ist durch das Ergänzen einer URL automatisch gesetzt, sodass nur noch die Optionen für die gewünschten Recourcentypen, die für die URL freigeschaltet werden sollen, ergänzt werden müssen. 

Die URL enthält die Quelle oder das Ziel von Daten in der Form http[s]://www.beispiel.de[/test.img] (Inhalte in [Eckigen Klammern] müssen nicht zwingend angegeben werden). 

 Hinweise zur URL:

Gültige URLs sind bspw.:
http://beispiel.de
https://beispiel.de
https://www.beispiel.de

Gültige URLs, allerdings in der kompletten Länge nicht notwendig:
https://www.beispiel.de/bild.jpg -> ist das gleiche wie https://www.beispiel.de

Ungültig URLs sind bspw.:
www.beispiel.de (http/https fehlt)
https:// (Domain fehlt)

 Nutzen Sie wenn möglich https-Adressen!

Es können folgende Resourcentypen freigeschaltet werden: 

  • ImgSrc: Bestimmt ob Bilddaten nachgeladen werden dürfen.
  • ScriptSrc: Bestimmt ob (Java)Script-Daten nachgeladen werden dürfen.
  • FrameSrc: Bestimmt welche Webseiten als (I)FRAME in die Seite eingebettet werden dürfen.
  • ConnectSrc: Bestimmt ob über Script Daten geladen und/oder übertragen werden dürfen.
  • StyleSrc: Bestimmt ob Styles nachgeladen werden dürfen.
  • MediaSrc: Bestimmt ob Audio- oder Videodaten geladen werden dürfen.
  • ObjectSrc: Bestimmt ob Daten innerhalb von <object>, <embed> and <applet> geladen werden dürfen.
  • FrameAncestors: Bestimmt auf welchen Webseiten OPEN über (I)FRAME eingebettet werden darf.
  • FontSrc: Bestimmt ob Schriftarten geladen werden dürfen.
  • FormAction: Bestimmt ob Datenübertragung über <form> (Formulare) erlaubt sind.  

Zur Erkennung welche Resourcentypen aktiviert werden müssen können Sie bspw. wie folgt vorgehen:
Wenn man eine OPEN-Seite mit fehlenden / wahrscheinlich geblockten Inhalten öffnet, kann diese im Inspektor des Browsers untersucht werden. 
Rufen Sie dafür im Browser die OPEN-(unter)Seite mit den blockierten Inhalten auf.
Mit dem Rechtsklick und Untersuchen oder F12 (je nach Browser) kann der Inspektor geöffnet werden und dort im neu geöffneten unteren Bildschirmbereich auf den Reiter „Konsole“ geklickt werden.
Ggfs. muss die Seite nun über F5 erneut geladen werden.
Man sollte dann die Liste im unteren Bildschirmbereich auf Fehler einschränken. Hier werden die Hinweise auf die CSP-Ausschlüsse (geblockte Inhalte) angegeben.
Es werden die URL und die entsprechenden Resourcentypen, die bei Konfiguration der CSP-Ausnahme angehakt werden müssen, gelistet.

Content Security Policy - Untersuchen - Konsole

Typische Beispiele: 
YouTubewww.youtube.de & www.youtube.com einfügen und Haken bei FrameSrc setzen.
Website der Stadt als IFrame URL einfügen und Haken bei FrameSrc setzen.
Angepasstes Skin (nicht von OCLC), ggfs. Schriftarten von externen Quellen (Rücksprache mit Webdesigner) Schrift-URL einfügen und Haken bei FontSrc setzen.
Bilder von externen Quellen > URL der Quelle einfügen und Haken bei ImageSrc setzen.

 

 Achtung: 

Nutzen Sie in OPEN zur Coveranzeige Links, die in BIBLIOTHECAnext eingepflegt sind (z.B. über die Metadaten von verschiedenen Anbietern, z.B. Hugendubel oder selbst erstellte Cover, die auf Ihrem Server liegen), über den sogenannten Coverprovider „Coverlinks“, müssen Sie die Domains, die in diesen Coverlinks angegeben sind, ebenfalls in der Content Security Policy freischalten (Haken bei ImgSrc setzen).

Die folgenden Domains für die Coverlinks sind bereits von OCLC freigeschaltet und greifen automatisch, sofern Sie die Metadaten dieser Anbieter in BIBLIOTHECAnext eingespielt haben: https://www.onleihe.de (Cover der Onleihe-Medien der divibib), https://cover.ekz.de (Cover der ekz)

Eine URL kann jederzeit in der Content Security Policy deaktiviert (Haken entfernt) oder über das rote X komplett aus der Übersicht gelöscht werden.

Bekannte Fehler:

  • Untersuchen_2.jpg
    Stellen Sie den verwendeten Link auf https um.