- Accueil
- Docs
- Installation et réglage
- Développeur
- Version sous Docker
- Travailler avec des modules complémentaires lors de l'utilisation d'une CSP
Travailler avec des modules complémentaires lors de l'utilisation d'une CSP
Introduction
Content Security Policy (CSP, stratégie de sécurité de contenu) est un standard de sécurité conçu afin d'assurer la protection contre certaines menaces, par exemple, contre les attaques XSS (Cross-Site Scripting, exécution de scripts entre sites), etc. Quand CSP est activée, elle ne permet de télécharger le contenu qu'à partir des sources approuvées. En particulier, elle bloque toutes les requêtes vers les domaines tiers qui n'ont pas été expressément autorisés.
Si vous utilisez ONLYOFFICE Docs (Entreprise ou Développeur) intégré dans votre solution web et lorsque CSP est activée sur votre propre serveur afin d'améliorer la sûreté et la sécurité, les paramètres par défaut de CSP peuvent provoquer des problèmes. Les éditeurs en ligne ONLYOFFICE comprennent les modules complémentaires dont certains utilisent des sources tierces et exécutent les requêtes vers des domaines tiers, par ex. le module complémentaire YouTube. CSP interdit les requêtes vers les domaines tiers, ce qui empêche le fonctionnement correct des modules complémentaires, par ex. elle bloque le téléchargement de la vidéo YouTube.
Ajouter des domaines tiers sur la liste des sources autorisées
Pour assurer le fonctionnement correct, il vous faut autoriser les requêtes vers certains domaines (la liste exhaustive des domaines est disponible ci-dessous). Pour ce faire, il est nécessaire de changer l'en-tête HTTP qui active CSP. En fonction de la solution utilisée, cet en-tête peut se trouver dans des fichiers différents. Le présent guide ne décrit que les principes de base et ne s'applique pas à des cas particuliers. L'en-tête doit être comme suit:
Header set Content-Security-Policy "default-src 'self'; script-src 'self'; connect-src 'self'; img-src 'self'; style-src 'self';"Cette ligne contient les directives qui définissent les sources autorisées pour les différents types de contenu: scripts, feuilles de style, polices, images, éléments HTML5 <audio> ou <video>, etc.
La directive default-src s'applique lorsque la directive pour un certain type de source n'est pas spécifiée.
‘self’ signifie que le contenu ne peut être téléchargé qu'à partir du domaine actif.
Il faut modifier la directive default-src en ajoutant les valeurs des domaines de confiance:
default-src 'self' *.trusted1.com *.trusted2.comCela permettra d'exécuter les requêtes vers les domaines crédibles spécifiés *.trusted1.com et *.trusted2.com les sous-domaines inclus, et d'en télécharger le contenu.
Liste des domaines tiers
Les modules complémentaires qui exécutent les requêtes vers des domaines tiers sont:
| Module complémentaire | Domaine |
|---|---|
clipart | https://openclipart.org |
parole | https://code.responsivevoice.org |
youtube | https://www.youtube.com |
thésaurus | https://words.bighugelabs.com |
traducteur | https://translate.yandex.net |
ocr | https://cdn.rawgit.com |
Les modules complémentaires de la liste ci-dessus qui sont inclus par défaut dans les Éditeurs en ligne ONLYOFFICE sont : ocr, parole, thésaurus, traducteur, youtube.
Le module complémentaire clipart n'est pas inclus dans les éditeurs en ligne, mais il est disponible sur https://github.com/ONLYOFFICE/sdkjs-plugins et vous pouvez l'ajouter aux éditeurs manuellement.
Pour ajouter tous les domaines mentionnés sur la liste des sources autorisées, l'en-tête HTTP doit être comme suit :
Header set Content-Security-Policy "default-src 'self' *openclipart.org *code.responsivevoice.org *www.youtube.com *words.bighugelabs.com *translate.yandex.net *cdn.rawgit.com; script-src 'self'; connect-src 'self'; img-src 'self'; style-src 'self';"wordpress et easybib, il est également nécessaire de spécifier les domaines*wordpress.com et *easybib.com.