Live after release 2022.7
De Content-Security-Policy-header (CSP Header) is doorontwikkeld naar een dynamischer variant. Klanten zijn niet meer gelinkt aan de hosts van andere klanten wat betekent dat het bijwerken van de CSP geen release meer vereist.
Dit verbetert daarnaast ook de beveiliging: klanten kunnen kiezen welke hosts ze voldoende vertrouwen om toe te voegen aan de CSP (bijvoorbeeld: analysetool, kaartserver enz.) en dit werkt door het hele systeem: zowel op formulier/pip als "intern" voor werknemers.
Let op!
Het vereist herconfiguratie vanuit de klanten, dit kan nu al gedaan worden zodat het niet gehaast hoeft op/na de releasedag. Na de release op 2022.7 zullen externe websites (m.u.z. van de onderstaande standaard domeinen) niet meer door Zaaksysteem gebruikt kunnen worden zonder configuratie.
Klanten moeten hun CSP-headers zo configureren dat ze alleen externe hosts bevatten die in hun specifieke omgeving worden gebruikt.
In de Zaaksysteem configuratie mag er in de prefix geen (m.u.z. van de standaard domeinen) gebruik gemaakt worden van:
- https://
- http://
Gebruik alleen de resterende tekst binnen de URL, enkele voorbeelden hiervan zijn: google.com of bing.nl
Standaard gewhiteliste domeinen
Standaard domeinen;
- https://zaaksysteem.nl/
- https://*.bus.couple.app
- https://login.live.com/
- https://*.officeapps.live.com/
- https://geodata.nationaalgeoregister.nl/
Andere domeinen moeten worden toegevoegd of verwijderd via de admin configuratie.
Let op! Captchas moeten ook gewhitelist worden!
Configureren van de CSP Headers:
Stap 1: Ga naar de beheerkant van het Zaaksysteem
Stap 2: Ga naar 'Configuratie'
Stap 3: Ga binnen het Configuratie menu naar 'Overig' zoals op het onderstaande voorbeeld:
Stap 4: Scroll nu volledig naar onder. Hier kun je de 'Whitelist CSP headers' functionaliteit vinden.
Let op: Wanneer het laden van een externe website na de release van 2022.7 niet werkt, controleer dan eerst of deze externe URL in deze balk geladen is.