Versions Compared

Old Version 6

changes.mady.by.user Heidi Vannevel

Saved on

compared with

New Version Current

changes.mady.by.user vincent.sennesael

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

...

Minimumvereisten TNI-omgeving (testing and integration)

Fetch Directive

Waarde

Beschrijving

connect-src

wss://authenticatie-ti.vlaanderen.be

 

connect-src

wss://tni.widgets.Burgerprofiel.dev-vlaanderen.be

 

connect-src

https://tni.widgets.Burgerprofiel.dev-vlaanderen.be

 

connect-src

wss://tni.contactapi.uat-vlaanderen.be

 

connect-src

https://tni.contactapi.uat-vlaanderen.be

 

connect-src

https://chat.contactcenter.dev-vlaanderen.be

connect-src

https://chat.contactcenter.vlaanderen.be

font-src

https://ui.vlaanderen.be

 

font-src

https://dij151upo6vad.cloudfront.net

 

font-src

https://assets.vlaanderen.be

 

frame-src

'self'

Alleen voor gastwebsites die een ACM-integratie hebben

frame-src

https://tni.widgets.Burgerprofiel.dev-vlaanderen.be

 

frame-src

https://tni.frontend.Burgerprofiel.dev-vlaanderen.be

 

frame-src

https://authenticatie-ti.vlaanderen.be

 

frame-src

https://idp.iamfas.belgium.be

 

frame-src

https://www.google.com

Nodig door het gebruik van recaptcha binnen het Contact-menu

img-src

data

Mijn Burgerprofiel maakt gebruik van dataprotocol om inline afbeeldingen te tonen

img-src

https://tni.widgets.Burgerprofiel.dev-vlaanderen.be

 

img-src

https://tni.widgetconfigservice.Burgerprofiel.dev-vlaanderen.be

 

style-src

'unsafe-inline'

Nodig omdat de stylesheets voor een widget dynamisch geïnjecteerd worden

script-src

https://tni.widgets.Burgerprofiel.dev-vlaanderen.be

 

script-src

https://www.google-analytics.com

Note

Google Analytics staat standaard uit.

script-src

'unsafe-eval'

Nodig door de interne structuur van de Javascript- loader die gebruikt wordt om de widget-afhankelijkheden te beheren en door de global namespace isolatie.

worker-src

https://tni.widgets.Burgerprofiel.dev-vlaanderen.be

 

 Minimumvereisten Productie-omgeving

Fetch Directive

Waarde

Beschrijving

connect-src

wss://authenticatie.vlaanderen.be

 

connect-src

wss://prod.widgets.Burgerprofiel.vlaanderen.be

 

connect-src

https://prod.widgets.Burgerprofiel.vlaanderen.be

 

connect-src

https://burgerprofiel.vlaanderen.be

 

connect-src

https://www.burgerprofiel.be

 

connect-src

wss://contactapi.vlaanderen.be

 

connect-src

https://contactapi.vlaanderen.be

 

connect-src

https://www.google-analytics.com

 

font-src

https://ui.vlaanderen.be

 

font-src

https://dij151upo6vad.cloudfront.net

 

font-src

https://assets.vlaanderen.be

 

frame-src

'self'

Alleen voor gastwebsites die een ACM-integratie hebben

frame-src

https://prod.widgets.Burgerprofiel.vlaanderen.be

 

frame-src

https://prod.frontend.Burgerprofiel.vlaanderen.be

 

frame-src

https://burgerprofiel.vlaanderen.be

 

frame-src

https://www.burgerprofiel.be

 

frame-src

https://authenticatie.vlaanderen.be

 

frame-src

https://idp.iamfas.belgium.be

 

frame-src

https://www.google.com

Nodig door het gebruik van recaptcha binnen het Contact-menu

img-src

data

Mijn Burgerprofiel maakt gebruik van dataprotocol om inline afbeeldingen te tonen

img-src

https://prod.widgets.Burgerprofiel.vlaanderen.be

 

img-src

https://prod.widgetconfigservice.Burgerprofiel.vlaanderen.be

 

style-src

'unsafe-inline'

Nodig omdat de stylesheets voor een widget dynamisch geïnjecteerd worden

script-src

https://prod.widgets.Burgerprofiel.vlaanderen.be

 

script-src

https://www.google-analytics.com

 

script-src

'unsafe-eval'

Nodig door de interne structuur van de Javascript loader die gebruikt wordt om de widget-afhankelijkheden te beheren en door de global namespace isolatie.

worker-src

https://prod.widgets.Burgerprofiel.vlaanderen.be

 

script-src fetch directive met nonce-waarde

...

Als een gastwebsite ACM-integratie voorziet, voeg dan 'self' toe als toegestane frame-ancestors waarde. Zo kan de gastwebsite worden getoond vanuit een iframe tijdens het aanmeldproces.

Request/Response 

Maatregel

Verplicht

Meer informatie

HTTPS

Ja

Elke website die Mijn Burgerprofiel wil aanbieden, moet via https:// toegankelijk zijn.

Cross-Origin Resource Sharing

Ja

Voorkomt dat externe bronnen requests sturen naar de applicatie. De applicatie moet de ondersteunde CORS zo strict mogelijk te configureren.

Ga voor meer informatie naar:

Content-Security-Policy

Ja

Zie https://vlaamseoverheid.atlassian.net/wiki/spaces/IKPubliek/pages/6336610336/Veiligheidsmaatregelen#Content-Security-Policy

X-Frame-Options

Ja

Het gebruik van i-frames is ten strengste afgeraden. Zijn i-frames toch noodzakelijk, zorg dan voor een zo strict mogelijke instelling.

Note

Als de website ACM-ondersteuning biedt, moet de aanmeldpagina vanuit een iframe getoond worden vanop eigen domein.

Strict-Transport-Security

Ja

Verwittigt de browser om HTTPS te forceren voor alle requests naar de back-end van de applicatie.

Ga voor mee informatie naar:

Cross-Site Request Forgery

Ja

Voorkomt cross-site request forgery door een uniek token te maken die elke request valideert.

Ga voor meer informatie naar:

X-Download-Options

Ja

Kies voor "noopen" om te voorkomen dat Internet Explorer gedownloade bestanden probeert uit te voeren binnen de context van de website.

X-Content-Type-Options

Ja

Kies voor "nosniff" om te voorkomen dat een browser MIME types probeert te raden.

X-Powered-By

Nee

Maak bij voorkeur geen informatie bekend over de infrastructuur of de applicatie.

X-Robots-Tag

Nee

Vermeld bij voorkeur expliciet aan crawlers dat de inhoud van pagina's niet gecachet mag worden.

Voor de meeste pagina's is authenticatie nodig. Bijgevolg zijn die al beschermd zijn door de sessiedetectie.