Wenn Sie eine Content Security Policy für Ihre Webseite etabliert haben, kann es zu Fehlern in der Darstellung des Trustbadge® und der Trustcard oder Anzeigefehlern im eTrusted Kontrollzentrum kommen. In dieser Anleitung erfahren Sie, wie Sie Ihre Content Security Policy anpassen und derartige Fehler beheben.
Was ist eine Content Security Policy?
Content Security Policy (CSP) ist ein Sicherheitskonzept für Webseiten, das insbesondere Cross-Site-Scripting-Angriffe verhindern soll. Beim Cross-Site-Scripting werden die Browser von Webseiten-Besucherinnen und -Besuchern dazu gebracht, innerhalb einer Webseite schadhaften Code auszuführen.
Um derartige Angriffe abzuwehren, wird das Laden aller Daten blockiert, die nicht ausdrücklich durch die Content Security Policy freigegeben sind. Mithilfe einer Content Security Policy legen Sie somit fest, welche Inhalte aus welchen Quellen im Browser der Webseiten-Besucherinnen und -Besucher geladen werden dürfen.
Content Security Policy anpassen
Damit Ihre Trusted Shops Produkte fehlerfrei funktionieren, müssen sie Daten von Trusted Shops Domains laden können. Passen Sie hierfür Ihre Content Security Policy an.
Allgemeine Content Security Policy
Verwenden Sie eine allgemeine Content Security Policy? Dann sind Anpassungen in Ihren default-src Regeln ausreichend. Fügen Sie die folgenden Regeln zu Ihren default-src Regeln hinzu:
default-src https://*.trustedshops.com http://*.trustedshops.com data: 'unsafe-inline';
Spezifischere Content Security Policy
Haben Sie innerhalb Ihrer Content Security Policy eigene Regeln für Datentypen wie Bilder, Schriftarten oder JavaScript etabliert? Dann fügen Sie die folgenden Regeln hinzu:
img-src https://*.trustedshops.com http://*.trustedshops.com data:;
script-src https://*.trustedshops.com http://*.trustedshops.com 'unsafe-inline';
font-src https://*.trustedshops.com http://*.trustedshops.com data:;
connect-src https://*.trustedshops.com http://*.trustedshops.com https://*.etrusted.com http://*.etrusted.com https://*.trustbadge.com http://*.trustbadge.com;