- Inicio
- Docs
- Configuración
- Enterprise
- Versión de Docker
- Trabajar con plugins al usar CSP
Trabajar con plugins al usar CSP
Introducción
Content Security Policy (CSP) es un estándar de seguridad diseñado para prevenir amenazas como los ataques de Cross-Site Scripting (XSS). Cuando CSP está habilitado en su servidor web, restringe la carga de contenido a fuentes aprobadas únicamente, bloqueando solicitudes a cualquier dominio de terceros que no haya sido explícitamente permitido.
Si está utilizando ONLYOFFICE Docs (Enterprise Edition o Developer Edition) integrado con su solución web y CSP está habilitado, los plugins que dependen de recursos de terceros serán bloqueados para funcionar correctamente. Para solucionar esto, necesita agregar los dominios utilizados por esos plugins a su lista de permitidos de CSP.
Agregar dominios de confianza
CSP se configura a través del encabezado HTTP Content-Security-Policy. El encabezado utiliza directivas para especificar fuentes permitidas para diferentes tipos de contenido. La directiva default-src actúa como un respaldo para cualquier tipo de recurso que no tenga su propia directiva. 'self' significa que el contenido solo puede cargarse desde el dominio actual.
Un encabezado típico se ve así:
Header set Content-Security-Policy "default-src 'self'; script-src 'self'; connect-src 'self'; img-src 'self'; style-src 'self';" Para permitir que un plugin acceda a su dominio externo requerido, agregue ese dominio a la directiva default-src:
default-src 'self' *.trusted-domain.com Esto permite solicitudes y la carga de contenido desde el dominio especificado y sus subdominios. Repita esto para cada plugin que requiera acceso externo.
Ejemplo: permitir el plugin de YouTube
El plugin youtube carga contenido de video desde www.youtube.com. Sin agregar este dominio a la lista de permitidos de CSP, el plugin será bloqueado para cargar videos.
Para permitirlo, agregue *www.youtube.com a la directiva default-src:
Header set Content-Security-Policy "default-src 'self' *www.youtube.com; script-src 'self'; connect-src 'self'; img-src 'self'; style-src 'self';" Aplique el mismo enfoque para cualquier otro plugin instalado que utilice recursos de terceros, agregando su dominio requerido a la directiva de la misma manera.