- Inicio
- Docs
- Instalación y configuración
- Desarrollador
- Versión de Docker
- Trabajando con plugins al usar CSP
Trabajando con plugins al usar CSP
Introducción
Content Security Policy (CSP) es un estándar de seguridad diseñado para prevenir ciertas amenazas, como ataques de Cross-Site Scripting (XSS), entre otros. Cuando CSP está habilitado, permite cargar contenidos solo desde las fuentes aprobadas. En particular, prohíbe las solicitudes a dominios de terceros que no hayan sido explícitamente permitidos.
Si estás utilizando ONLYOFFICE Docs (Enterprise Edition o Developer Edition) integrado con tu solución web, y si CSP está habilitado en tu servidor web para mejorar las medidas de seguridad, la configuración predeterminada de CSP puede causar algunos problemas. Los editores en línea de ONLYOFFICE incluyen varios plugins, algunos de los cuales utilizan recursos de terceros y realizan solicitudes a dominios de terceros, por ejemplo, el plugin de YouTube. Como CSP prohíbe las solicitudes a dominios de terceros, esto impide que los plugins funcionen correctamente, por ejemplo, bloqueando la carga de videos de YouTube.
Agregar dominios de terceros a la lista de fuentes permitidas
Para que los plugins funcionen correctamente, necesitas permitir solicitudes a ciertos dominios (la lista completa de dominios está disponible a continuación). Esto se puede hacer cambiando el encabezado HTTP que habilita CSP. Dependiendo de la solución que utilices, este encabezado puede estar ubicado en diferentes archivos. Esta instrucción describe los principios básicos, no los casos individuales. El encabezado debería verse así:
Header set Content-Security-Policy "default-src 'self'; script-src 'self'; connect-src 'self'; img-src 'self'; style-src 'self';"Esta cadena contiene directivas que especifican las fuentes permitidas para diferentes tipos de contenido: scripts, hojas de estilo, fuentes, imágenes, elementos HTML5 <audio> o <video>, etc.
La directiva default-src se aplica cuando no se especifica una directiva para un cierto tipo de recurso.
‘self’ significa que los contenidos solo se pueden cargar desde el dominio actual.
Es necesario editar la directiva default-src agregando los valores de los dominios de confianza:
default-src 'self' *.trusted1.com *.trusted2.comEsto permitirá realizar solicitudes y cargar contenidos desde los dominios de confianza especificados *.trusted1.com y *.trusted2.com, incluyendo sus subdominios.
Lista de dominios de terceros
Los siguientes plugins realizan solicitudes a dominios de terceros:
| Plugin | Dominio |
|---|---|
clipart | https://openclipart.org |
speech | https://code.responsivevoice.org |
youtube | https://www.youtube.com |
thesaurus | https://words.bighugelabs.com |
translate | https://translate.yandex.net |
ocr | https://cdn.rawgit.com |
Los siguientes plugins de los mencionados anteriormente están incluidos en ONLYOFFICE Online Editors por defecto: ocr, speech, thesaurus, translate, youtube.
El plugin clipart no está incluido en los editores en línea, pero está disponible en https://github.com/ONLYOFFICE/sdkjs-plugins, y puedes agregarlo a los editores manualmente.
Para agregar todos los dominios mencionados a la lista de fuentes permitidas, el encabezado HTTP debería verse así:
Header set Content-Security-Policy "default-src 'self' *openclipart.org *code.responsivevoice.org *www.youtube.com *words.bighugelabs.com *translate.yandex.net *cdn.rawgit.com; script-src 'self'; connect-src 'self'; img-src 'self'; style-src 'self';"wordpress y easybib, también necesitarás especificar los dominios *wordpress.com y *easybib.com.