Parameter:
DOMINO_CSP_POLICYKurzbeschreibung: Konkreter Wert des
Content-Security-Policy-Headers, den Domino ausliefert, wenn DOMINO_ENABLE_CSP=1 aktiv ist.Steckbrief
Parameter | DOMINO_CSP_POLICY |
Kategorie | Security / TLS |
Komponente | Server |
Verfügbar seit | 12.0 |
Unterstützte Versionen | 12.0, 14.0, 14.5, 14.5.1 |
GUI-Entsprechung | Nur notes.ini (keine GUI) |
Mögliche Werte | CSP-Directive-String, z. B. default-src 'self'; script-src 'self' 'unsafe-inline'; frame-ancestors 'self' |
Beschreibung
DOMINO_CSP_POLICY definiert den exakten Inhalt des HTTP-Headers Content-Security-Policy, der vom Domino-HTTP-Stack zu jeder Antwort hinzugefügt wird, sobald DOMINO_ENABLE_CSP=1 gesetzt ist. CSP ist ein zentraler Schutzmechanismus gegen XSS, Clickjacking und Datenexfiltration: Der Browser erhält eine weiße Liste erlaubter Quellen für Skripte, Styles, Frames, Bilder, Fonts usw. und lehnt alles andere ab.Die Policy muss zur eingesetzten Anwendung (klassisches Domino-Web, XPages, Verse, eigene Apps) passen – zu strenge Regeln blockieren legitime Funktionen, zu lasche Regeln entwerten den Schutz.
Beispiel-Konfiguration
DOMINO_ENABLE_CSP=1 DOMINO_CSP_POLICY=default-src 'self'; script-src 'self' 'unsafe-inline'; style-src 'self' 'unsafe-inline'; img-src 'self' data:; frame-ancestors 'self'
Hinweise & Stolperfallen
- Wirkt nur, wenn zusätzlich
DOMINO_ENABLE_CSP=1gesetzt ist.
- Greift nach
restart task http.
- Für XPages/Verse oft
'unsafe-inline'und'unsafe-eval'notwendig – schrittweise mitContent-Security-Policy-Report-Onlytesten.
- Bei Reverse-Proxy davor prüfen, ob der Proxy den Header bereits setzt – doppelter Header führt zu unerwartetem Browser-Verhalten.
- Ergänzt sich mit
DOMINO_HSTS_HEADER,DOMINO_X_CONTENT_TYPE_OPTIONS,DOMINO_REFERRER_POLICY.