| ... |
... |
@@ -51,6 +51,14 @@ |
| 51 |
51 |
|
| 52 |
52 |
Das Session-Cookie dient zur Aufrechterhaltung einer Sitzung, während der Nutzer angemeldet ist. Hier kann festgelegt werden, ob das Session-Cookie nur bei HTTPS-Verbindungen gesetzt wird (Secure) und ob es an Drittseiten übermittelt werden soll (SameSite). Bei ausschließlicher Verwendung von HTTPS wird empfehlen, das Secure-Flag zu aktivieren. Das Erlauben des Session-Cookies auf Drittseiten ist für einige Anwendungsfälle wie das Einbinden per AJAX in externe Seiten notwendig. |
| 53 |
53 |
|
|
54 |
+=== Content-Security-Policy === |
|
55 |
+ |
|
56 |
+Ermöglicht es, weitere Werte zum Content-Security-Policy-Header hinzuzufügen. Für Backend (Verwaltungsoberfläche, Designer, Postfach) und für Frontend (Webformulare) können verschiedene Werte hinterlegt werden. |
|
57 |
+ |
|
58 |
+Content Security Policy (CSP) ist ein Sicherheitskonzept, um Cross-Site-Scripting und andere Angriffe durch Einschleusen von Daten in Webseiten zu verhindern. Es geht insbesondere darum, das Unterschieben von bösartigem Code abzuwehren. Bei den sogenannten Cross-Site-Scripting-Attacken werden Daten von fremden Webservern eingebunden, die die Aufgabe haben, den Datenverkehr auf der gerade besuchten Website auszuspionieren, diesen zu manipulieren oder gar mögliche Softwarefehler auf dem Rechner des Seitenbesuchers auszunutzen, um Schadsoftware zu installieren. So ist es damit beispielsweise möglich, dass der Browser keine JavaScript-Dateien lädt und ausführt, wenn diese nicht von exakt demselben Webserver stammen, von dem die eigentliche Seite geladen wurde. Es kann sehr fein abgestuft werden, ob das JavaScript in einer eigenen Datei notiert sein muss, oder ob direkt im HTML-Dokument notierter JavaScript-Code, der in <script>-Elemente eingebettet ist, ausgeführt werden darf. |
|
59 |
+ |
|
60 |
+Eine Liste von möglichen Policies findet sich etwa bei [[Mozilla>>url:https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Content-Security-Policy||_target="blank"]]. |
|
61 |
+ |
| 54 |
54 |
== Protokoll == |
| 55 |
55 |
|
| 56 |
56 |
=== Automatisches Löschen von Protokolleinträgen === |
| ... |
... |
@@ -68,9 +68,9 @@ |
| 68 |
68 |
{{/figure}} |
| 69 |
69 |
|
| 70 |
70 |
; Automatisch durch Bots abgesendete Formulare sollen protokolliert werden |
| 71 |
|
-: {{formcycle/}} versucht zu erkennen, ob ein Formular durch eine Maschine (Bot) automatisiert abgesendet wurde. Ist dies der Fall, wird die Formularabsendung blockiert. Ist diese Option aktiviert, wird dann ein entsprechender Prozessprotokolleintrag angelegt. |
|
79 |
+: {{formcycle/}} versucht zu erkennen, ob ein Formular durch eine Maschine (Bot) automatisiert abgesendet wurde. Ist dies der Fall, wird die Formularabsendung blockiert. Ist diese Option aktiviert, wird dann ein entsprechender Prozess[[protokolleintrag>>doc:Formcycle.UserInterface.Protocol]] angelegt. |
| 72 |
72 |
; Nutzung unerlaubter Absendeknöpfe soll protokolliert werden |
| 73 |
|
-: WIP |
|
81 |
+: Im Formular können [[Schaltflächen>>doc:Formcycle.Designer.Form.FormElements.Button]] zum Absenden eingefügt werden. Innerhalb des Workflows kann dann [[geprüft werden>>doc:Formcycle.Designer.Workflow.Events.SubmitButton]], welche Schaltfläche zum Absenden verwendet wurde und dementsprechend Aktionen ausgeführt werden. Seit Version 7 ist es möglich, zu überprüfen, ob der verwendete Absendeknopf auch tatsächlich existiert, um Manipulationen zu vermeiden. Ist diese Option aktiviert, wird ein Prozess[[protokolleintrag>>doc:Formcycle.UserInterface.Protocol]] angelegt, falls ein unerlaubter Absendeknopf verwendet wird. |
| 74 |
74 |
|
| 75 |
75 |
== Limits == |
| 76 |
76 |
|
| ... |
... |
@@ -116,7 +116,7 @@ |
| 116 |
116 |
=== Loopback URL === |
| 117 |
117 |
|
| 118 |
118 |
{{figure image="system_general_loopback_de.png" clear="h3" width="600"}} |
| 119 |
|
-Loopback URL |
|
127 |
+Die Loopback-URL gibt an, über welche Adresse der Server auf sich selber zugreifen kann. |
| 120 |
120 |
{{/figure}} |
| 121 |
121 |
|
| 122 |
122 |
Für einige Funktionalitäten (z.B. Formularbildvorschau oder PDF-Print) werden Formulare durch den Server selbst aufgerufen. In Clustersystemen oder Umgebungen, in denen die interne und externe Domain verschieden sind, dient diese URL zur Konfiguration der internen Erreichbarkeit (z.B. http://localhost:8080/formcycle). |
| ... |
... |
@@ -123,5 +123,9 @@ |
| 123 |
123 |
|
| 124 |
124 |
=== Lizenz === |
| 125 |
125 |
|
| 126 |
|
-: Automatisches Lizenz-Update durch externe Benachrichtigungen erlauben |
| 127 |
|
-; WIP |
|
134 |
+{{figure image="system_general_license_de.png" clear="h3" width="600"}} |
|
135 |
+Hier können Einstellungen zur Lizenz vorgenommen werden. |
|
136 |
+{{/figure}} |
|
137 |
+ |
|
138 |
+; Automatisches Lizenz-Update durch externe Benachrichtigungen erlauben |
|
139 |
+: Ist diese Option aktiviert, kann die Lizenz über ein HTTP-Request an {{code language="text"}}http://example.com/formcycle/license/notify?key=LICENSE_KEY{{/code}} aktualisiert werden. Dabei muss {{code language="text"}}http://example.com/formcycle{{/code}} durch die tatsächliche URL des {{formcycle/}}-Servers ersetzt werden und //LICENSE_KEY// durch den zu aktualisierenden Lizenschlüssel. |
