Parameter:
DOMINO_ENABLE_CSPKurzbeschreibung: Aktiviert den Versand des
Content-Security-Policy-Headers durch den Domino-HTTP-Stack (Pendant zu HSTS).Steckbrief
Parameter | DOMINO_ENABLE_CSP |
Kategorie | Security / TLS |
Komponente | Server |
Verfügbar seit | 12.0 |
Unterstützte Versionen | 12.0, 14.0, 14.5, 14.5.1 |
GUI-Entsprechung | Nur notes.ini (keine GUI) |
Mögliche Werte | 0 = kein CSP-Header (Standard), 1 = CSP-Header senden (Wert aus DOMINO_CSP_POLICY) |
Beschreibung
DOMINO_ENABLE_CSP ist der Master-Schalter für den Content-Security-Policy-Header (CSP) im Domino-HTTP-Stack. Steht der Wert auf 1, hängt Domino jeder HTTP-Antwort den in DOMINO_CSP_POLICY definierten CSP-Header an. CSP ist ein moderner Browser-Schutzmechanismus gegen XSS, Clickjacking und Inhalts-Injection – erlaubt sind nur die explizit aufgeführten Quellen.Dieser Parameter setzt den Header generisch für alle vom Domino-HTTP-Stack ausgelieferten Inhalte (klassisches Web, XPages, REST, Verse) – sofern kein vorgelagerter Reverse-Proxy bereits einen CSP-Header setzt.
Beispiel-Konfiguration
DOMINO_ENABLE_CSP=1 DOMINO_CSP_POLICY=default-src 'self'; script-src 'self' 'unsafe-inline'; frame-ancestors 'self'
Hinweise & Stolperfallen
- Ohne gesetzten
DOMINO_CSP_POLICYwird ein leerer/Default-Header gesendet – immer beide Parameter konfigurieren.
- Greift nach
restart task http.
- Für Tests zunächst
Content-Security-Policy-Report-Only(per Reverse-Proxy) verwenden, bevor produktiv hart aktiviert wird.
- Bei vorgeschaltetem Reverse-Proxy entweder hier oder dort setzen, nie beides – doppelte Header verwirren Browser.
- Ergänzt sich mit
DOMINO_HSTS_HEADER,DOMINO_X_CONTENT_TYPE_OPTIONS,DOMINO_REFERRER_POLICY,DOMINO_PERMITTED_CROSS_DOMAIN_POLICIES.