Zum Hauptinhalt springen

Header der Inhaltssicherheitsrichtlinie

Content Security Policy (CSP)-Header mit MTCaptcha

Nachfolgend finden Sie zwei Beispiele zum Aktivieren von MTCaptcha mit Content Security Policy (CSP)-HTTP-Headern:

Einfache CSP-Header (weniger sicher)

Am einfachsten ist es, die folgenden Header festzulegen, obwohl dies eine schwache Sicherheit bietet, da es 'unsafe-inline' erfordert.

Content-Security-Policy: script-src 'self' 'unsafe-inline' https://service.mtcaptcha.com https://service2.mtcaptcha.com;
Content-Security-Policy: frame-src https://service.mtcaptcha.com https://service2.mtcaptcha.com;

‍Sichere CSP-Header

FĂŒr eine sicherere CSP-Einstellung ohne Verwendung von dynamischem Nonce oder Unsafe-Inline:

  1. Erstellen Sie eine neue Datei ‘mtcaptcha-integration.js’ und platzieren Sie darin den mtcaptcha-Initialisierungs- und Importcode. Die vollstĂ€ndigen mtcaptcha-Initialisierungs- und Importeinstellungen finden Sie im MTCaptcha Code Builder und im MTCaptcha’s Developer Guide.
// This code should be placed in a file called mtcaptcha-integration.js
    var mtcaptchaConfig = {
      "sitekey": "<YOUR SITE KEY>"
      ...
     };
   (function(){var mt_service = document.createElement('script');mt_service.async = true;mt_service.src = 'https://service.mtcaptcha.com/mtcv1/client/mtcaptcha.min.js';(document.getElementsByTagName('head')[0] || document.getElementsByTagName('body')[0]).appendChild(mt_service);
   var mt_service2 = document.createElement('script');mt_service2.async = true;mt_service2.src = 'https://service2.mtcaptcha.com/mtcv1/client/mtcaptcha2.min.js';(document.getElementsByTagName('head')[0] || document.getElementsByTagName('body')[0]).appendChild(mt_service2);}) ();

  1. Importieren Sie das JavaScript mtcaptcha-integration.js auf der Webseite mit dem folgenden Skript-Tag <script src="mtcaptcha-integration.js" ></script>

  2. FĂŒgen Sie die folgenden CSP-Header hinzu

Content-Security-Policy: script-src 'self'  https://service.mtcaptcha.com https://service2.mtcaptcha.com;  
Content-Security-Policy: frame-src https://service.mtcaptcha.com https://service2.mtcaptcha.com;