Content Security Policy (CSP, stratégie de sécurité de contenu) est un standard de sécurité conçu afin d'assurer la protection contre certaines menaces, par exemple, contre les attaques XSS (Cross-Site Scripting, exécution de scripts entre sites) etc. Quand CSP est activée, elle ne permet de télécharger le contenu qu'à partir des sources approuvées. En particulier, elle bloque toutes les requêtes vers les domaines tiers qui n'ont pas été expressément autorisés.

Si vous utilisez ONLYOFFICE Docs (Enterprise Edition ou Developer Edition) intégré à votre solution web et lorsque CSP est activée sur votre propre serveur afin d'améliorer la sûreté et la sécurité, les paramètres par défaut de CSP peuvent provoquer des problèmes. Les éditeurs en ligne ONLYOFFICE comprennent les modules complémentaires dont certains utilisent des sources tierces et exécutent les requêtes vers des domaines tiers, par ex. le module complémentaire YouTube. CSP interdit les requêtes vers les domaines tiers ce qui empêche le fonctionnement correct des modules complémentaires, par ex. elle bloque le téléchargement de la vidéo YouTube.

Ajouter des domaines tiers sur la liste des sources autorisées

Pour assurer le fonctionnement correct il vous faut autoriser les requêtes vers certains domaines (voir liste exhaustive des domaines ci-dessous). Pour ce faire, il est nécessaire de changer l'en-tête HTTP qui active CSP. En fonction de la solution utilisée cet en-tête peut se trouver dans des fichiers différents. Le présent guide ne décrit que les principes de base et ne s'applique pas à des cas particuliers. L'en-tête doit être comme suit:

Header set Content-Security-Policy "default-src 'self'; script-src 'self'; connect-src 'self';  img-src 'self'; style-src 'self';"

Cette ligne contient les directives qui définissent les sources autorisées pour les différents types de contenu : scripts, feuilles de style, polices, images, éléments HTML5 <audio> ou <video> etc.

La directive default-src s'applique lorsque la directive pour un certain type de source n'est pas spécifiée.

'self' signifie que le contenu ne peut être téléchargé qu'à partir du domaine actif.

Il faut modifier la directive default-src en ajoutant les valeurs des domaines de confiance:

default-src 'self' *.trusted1.com *.trusted2.com

Cela permettra d'exécuter les requêtes vers les domaines crédibles spécifiés *.trusted1.com et *.trusted2.com les sous-domaines inclus et d'en télécharger le contenu.

Liste des domaines tiers

Les modules complémentaires qui exécutent les requêtes vers des domaines tiers sont:

Module complémentaire	Domaine
`clipart`	https://openclipart.org
`parole`	https://code.responsivevoice.org
`youtube`	https://www.youtube.com
`thésaurus`	https://words.bighugelabs.com
`traducteur`	https://translate.yandex.net
`ocr`	https://cdn.rawgit.com

Les modules complémentaires de la liste ci-dessus qui sont inclus par défaut dans les Éditeurs en ligne ONLYOFFICE sont : ocr, parole, thésaurus, traducteur, youtube.

Le module complémentaire clipart n'est pas inclus dans les éditeurs en ligne, mais il est disponible sur https://github.com/ONLYOFFICE/sdkjs-plugins et vous pouvez l'ajouter aux éditeurs manuellement.

Pour ajouter tous les domaines mentionnés sur la liste des sources autorisées, l'en-tête HTTP doit être comme suit :

Header set Content-Security-Policy "default-src 'self' *openclipart.org *code.responsivevoice.org *www.youtube.com *words.bighugelabs.com *translate.yandex.net *cdn.rawgit.com; script-src 'self'; connect-src 'self'; img-src 'self'; style-src 'self';"

Si vous avez effectué la configuration supplémentaire de ONLYOFFICE Enterprise Edition avec CSP et vous avez activé les modules complémentaires wordpress et easybib, il est également nécessaire de spécifier les domaines*wordpress.com et *easybib.com

Download Host on your own server Available for
Docker, Windows and Linux

Cela peut vous aider aussi :

Fermer

Articles avec le tag :

Changelog

Centre d'aide

ONLYOFFICE Docs Enterprise Edition

Travail avec les modules complémentaires lors de l'utilisation de CSP

Introduction

Ajouter des domaines tiers sur la liste des sources autorisées

Liste des domaines tiers