ONLYOFFICE Docs 9.4 disponible : mise à jour de la licence, mode sombre pour les feuilles dans le tableur, lignes horizontales, nouveaux thèmes et transitions pour les diapositives et bien plus encore
ONLYOFFICE Docs 9.4 disponible

Travailler avec des modules complémentaires lors de l'utilisation de CSP

Introduction

La politique de sécurité de contenu (CSP) est un standard de sécurité destinée à prévenir différents types d'attaques telles que les attaques par injection de contenu (XSS). Une fois activée sur votre serveur web, CSP bloque le chargement depuis les sources non autorisées et les requêtes vers tout domaine tiers qui n'est pas explicitement autorisé.

Lorsque votre solution ONLYOFFICE Docs (Édition Entreprise ou Édition Développeur) est intégrée dans votre solution web et la CSP est activée, les modules complémentaires qui dépendent de ressources tierces seront bloqués et ne fonctionneront pas correctement. Pour résoudre ce problème, vous devez ajouter les domaines utilisés par ces modules complémentaires à votre liste des autorisations CSP.

Ajouter des domaines de confiance

La stratégie CSP est configurée utilisant l'en-tête HTTP Content-Security-Policy. L'en-tête utilise des directives pour spécifier les sources autorisées pour différents types de contenu. La directive default-src sert de secours pour tout ressource ne possédant pas sa propre directive. 'self' signifie que le contenu ne peut être chargé que depuis le domaine actuel.

Un en-tête standard ressemble à ceci:

Header set Content-Security-Policy "default-src 'self'; script-src 'self'; connect-src 'self'; img-src 'self'; style-src 'self';"

Pour autoriser l'accès du module complémentaire au domaine externe, ajoutez ce domaine-ci à la directive default-src:

default-src 'self' *.trusted-domain.com

Cela permet d'envoyer des requêtes vers le domaine spécifié et ses sous-domaines, ainsi que de charger du contenu provenant de ceux-ci. Répétez cette opération pour chaque module complémentaire nécessitant l'accès externe.

L'emplacement exact de l'en-tête HTTP dépend de votre serveur web et de votre configuration d'intégration. Ce guide présente le principe général.
Pour identifier les domaines requis par un module complémentaire, ouvrez les outils de développement du navigateur, accédez à l'onglet Réseau et exécutez le module complémentaire. Toutes les requêtes externes bloquées apparaîtront comme ayant échoué, et le domaine figurant dans ces requêtes est celui que vous devez ajouter à votre liste des autorisations CSP.

Exemple: autoriser le module complémentaire YouTube

Le module complémentaire youtube charge le contenu depuis www.youtube.com. Si ce domaine n'est pas ajouté à la liste verte CSP, le module complémentaire ne pourra pas charger les vidéos.

Pour ajouter le domaine nécessaire, ajoutez *www.youtube.com à la directive default-src directive:

Header set Content-Security-Policy "default-src 'self' *www.youtube.com; script-src 'self'; connect-src 'self'; img-src 'self'; style-src 'self';"

Procédez de la même manière avec tout autre module complémentaire installé qui utilise des ressources externes en ajoutant le domaine nécessaire à la directive de la même façon.

Articles avec le tag :
Parcourir tous les tags