Sicherheits-Härtung

Der Website-Messenger kann so konfiguriert werden, dass er ausschliesslich auf vertrauenswürdigen Webseiten funktioniert. Das schützt vor unerwünschtem Einbetten auf Drittseiten und verhindert, dass nicht autorisierte Quellen mit dem Chatbot interagieren.

Erlaubte Origins (allowedOrigins)

Definiert, welche Webseiten den Chatbot einbetten und mit ihm kommunizieren dürfen. Ist diese Option gesetzt, werden CORS, die Content Security Policy und der PostMessage-Austausch automatisch so eingeschränkt, dass nur die aufgeführten Seiten Zugriff erhalten. Nicht gelistete Seiten werden vom Browser geblockt – ohne dass dafür zusätzliche Konfiguration nötig ist.

Wird keine Einschränkung gewünscht, kann die Option leer gelassen werden. Dann sind alle Seiten erlaubt, was dem Standardverhalten entspricht.

Vertrauenswürdige Ressourcen-Quellen (trustedResourceOrigins)

Legt fest, von welchen externen Quellen der Browser Ressourcen wie Schriften, Bilder und Stylesheets laden darf. Damit lässt sich sicherstellen, dass der Chatbot ausschliesslich Inhalte von bekannten und kontrollierten Anbietern bezieht – ein wichtiger Schutz gegen das Einschleusen unerwünschter Inhalte über Drittanbieter.

Auch hier gilt: Ohne Konfiguration sind alle HTTPS-Quellen erlaubt.

Erlaubte Origins (allowedOrigins)​

Vertrauenswürdige Ressourcen-Quellen (trustedResourceOrigins)​

Erlaubte Origins (allowedOrigins)

Vertrauenswürdige Ressourcen-Quellen (trustedResourceOrigins)