Säkerhetspolicy för innehåll, del två

25 okt 09:37
Som vi skrev i förra uppdateringen om Säkerthetspolicy för innehåll så är det ett pågående arbete att följa gängse standarder för innehåll på webben. Varning dock för att detta kan bli mycket teknikprat, men det är viktigt för hur Atlas fungerar och en del kunder har frågat oss efter att ha kört så kallade test-sviter som fortfarande varnar om Atlas säkerhetspolicy.
Så, efter vår förra uppdatering så implementerade vi en säkerhetspolicy som handlade om hur Atlas rapporterar mot webbläsaren vilket ursprung av innehåll som är ok helt enkelt. Så använder man en chattfunktion på sidan så måste man lägga till den i ok-listan för den typen av innehåll.
Men det finns en annan typ av säkerhetspolicy som rör script och stilmallar som används på sidan också. Så som exempel:

Stilmallar

I dagsläget är det många stilmallar som anges "inline", det vill säga så här:
<button style="background-color: red">Knapp</button>
Det vill säga att själva koden för utseendet anges direkt i HTML-taggen. För att detta ska fungera med det nya säkerhetsinnehållen så har vi angivit en tagg där som heter "unsafe-inline", att vi alltså tillåter "osäkert" innehåll direkt i taggen. Detta är ju inte optimalt och vi har jobbat med att se till att Atlas automatiskt "flyttar ut" den här informationen från taggen, så här:
<button id="ABC123">Knapp</button> <script nonce="XXX"> #ABC123 { background-color: red; } </script>
Den där delen med "nonce" är ett ID som skapas för varje sida som skapas och verifierar att stilen som är i det blocket är "verifierat".

Script

Samma sak med script, där man också kan använda inline-script, som så här:
<button onclick="gotopage()">Knapp</button>
Medan den mer korrekta versionen alltså blir:
<button id="ABC123>Knapp</button> <script nonce="XXX"> $("#ABC123").on("click", function(){ gotopage(); }); </script>

Beta

Vi försöker testa den här funktionen så långt det går, men vi släpper detta som en beta-funktion där ni kan testa vad som funkar och inte funkar: documentation Betaläge. Hör av er i Supportloggen om eventuella buggar. Lansering av den här funktionen blir senare i år