Com o objetivo de aumentar o nível de segurança dos ambiente exposto na internet para todos os portais educacionais sem instabilizar os recursos presentes atualmente nos mesmo. Terá a criação do arquivo "web.confg" para atender todos portais educacionais de forma geral.
A instituição poderá realizar a configuração do headers da forma que desejar. Para saber mais acesse Aumentar a segurança de sua aplicação
O arquivo "web.confg" será criado na pasta "FrameHTML\Web\App\Edu" contendo nesse momento inicial as regras padrões para não colocar instabilidade nos recursos presentes nos portais educacionais.
Esse arquivo será criado a partir da versão 12.1.2510. Desta forma, caso o arquivo não exista na pasta "FrameHTML\Web\App\Edu", o instalador irá criar o arquivo. Caso contrário o mesmo não será criado novamente ou modificado nesse primeiro momento.
Nesse arquivo terá as regras padrões do atributo Content Security Policy (CSP).
| Atributo | Descrição | Referência |
|---|---|---|
| Content Security Policy (CSP | A diretiva Content-Security-Policy (CSP) é um cabeçalho de segurança importante que ajuda a mitigar os riscos de ataques como XSS (Cross-Site Scripting) e outros tipos de ataques baseados em injeção de código. Ela permite que os desenvolvedores controlem quais recursos são carregados em uma página web e de onde eles podem ser carregados. | Content Security Policy (CSP) - HTTP | MDN |
Se o cliente tiver alguma regra presente no atributo Content Security Policy (CSP) no arquivo "web.confg" de um determinado portal do TOTVS Educacional. Será necessário ajuste nesse arquivo para que tais regras personalizadas não sejam afetadas. Uma sugestão é a inclusão da tag "<remove name="Content-Security-Policy" />", antes da linha do atributo "Content Security Policy (CSP)" para manter as regras personalizadas da instituição |
<httpProtocol> <customHeaders> <remove name="Content-Security-Policy"/> <add name="Content-Security-Policy" value="default-src * 'unsafe-inline' 'unsafe-eval' data: blob:;"/> </customHeaders> </httpProtocol> |