Este artículo está traducido por IA

Trabajar con plugins al usar CSP

Introducción

Content Security Policy (CSP) es un estándar de seguridad diseñado para prevenir amenazas como los ataques de Cross-Site Scripting (XSS). Cuando CSP está habilitado en su servidor web, restringe la carga de contenido a fuentes aprobadas únicamente, bloqueando solicitudes a cualquier dominio de terceros que no haya sido explícitamente permitido.

Si está utilizando ONLYOFFICE Docs (Enterprise Edition o Developer Edition) integrado con su solución web y CSP está habilitado, los plugins que dependen de recursos de terceros serán bloqueados para funcionar correctamente. Para solucionar esto, necesita agregar los dominios utilizados por esos plugins a su lista de permitidos de CSP.

Agregar dominios de confianza

CSP se configura a través del encabezado HTTP Content-Security-Policy. El encabezado utiliza directivas para especificar fuentes permitidas para diferentes tipos de contenido. La directiva default-src actúa como un respaldo para cualquier tipo de recurso que no tenga su propia directiva. 'self' significa que el contenido solo puede cargarse desde el dominio actual.

Un encabezado típico se ve así:

Header set Content-Security-Policy "default-src 'self'; script-src 'self'; connect-src 'self'; img-src 'self'; style-src 'self';"

Para permitir que un plugin acceda a su dominio externo requerido, agregue ese dominio a la directiva default-src:

default-src 'self' *.trusted-domain.com

Esto permite solicitudes y la carga de contenido desde el dominio especificado y sus subdominios. Repita esto para cada plugin que requiera acceso externo.

La ubicación exacta del encabezado HTTP depende de su servidor web y configuración de integración. Este artículo describe el principio general.
Para identificar qué dominios requiere un plugin, abra las herramientas de desarrollador del navegador, vaya a la pestaña Red y ejecute el plugin. Cualquier solicitud externa bloqueada aparecerá como fallida, y el dominio en esas solicitudes es lo que necesita agregar a su lista de permitidos de CSP.

Ejemplo: permitir el plugin de YouTube

El plugin youtube carga contenido de video desde www.youtube.com. Sin agregar este dominio a la lista de permitidos de CSP, el plugin será bloqueado para cargar videos.

Para permitirlo, agregue *www.youtube.com a la directiva default-src:

Header set Content-Security-Policy "default-src 'self' *www.youtube.com; script-src 'self'; connect-src 'self'; img-src 'self'; style-src 'self';"

Aplique el mismo enfoque para cualquier otro plugin instalado que utilice recursos de terceros, agregando su dominio requerido a la directiva de la misma manera.

Artículos con etiqueta:
Ver todas las etiquetas