Articles avec le tag :
Fermer
Changelog
Fermer
Essayer dans le cloud
Centre d'aide
ONLYOFFICE Docs Developer Edition

Travail avec les plug-ins lors de l'utilisation de CSP

ONLYOFFICE Docs v7.0 ONLYOFFICE Docs changelog

Version 7.1.0

Release date: 05/11/2022

Version 7.0.1

Release date: 02/22/2022

Version 7.0.0

Release date: 01/18/2022

Version 6.4.2

Release date: 10/14/2021

Version 6.4.1

Release date: 09/28/2021

Version 6.4.0

Release date: 08/26/2021

Version 6.3.2

Release date: 08/10/2021

Version 6.3.1

Release date: 06/08/2021

Version 6.3.0

Release date: 05/20/2021

Version 6.2.2

Release date: 04/19/2021

Version 6.2.1

Release date: 03/31/2021

Version 6.2.0

Release date: 03/01/2021

Version 6.1.1

Release date: 01/28/2021

Version 6.1.0

Release date: 12/02/2020

Version 6.0.2

Release date: 11/12/2020

Version 6.0.1

Release date: 10/28/2020

Version 6.0.0

Release date: 10/14/2020

Version 5.6.5

Release date: 09/21/2020

Version 5.6.4

Release date: 09/08/2020

Version 5.6.3

Release date: 08/17/2020

Version 5.6.2

Release date: 08/07/2020

Version 5.6.1

Release date: 08/05/2020

Version 5.6.0

Release date: 07/29/2020

Version 5.5.3

Release date: 05/22/2020

Version 5.5.1

Release date: 04/09/2020

Version 5.5.0

Release date: 03/05/2020

Version 5.4.2

Release date: 11/27/2019

Version 5.4.1

Release date: 10/02/2019

Version 5.4.0

Release date: 09/03/2019

Version 5.3.4

Release date: 07/16/2019

Version 5.3.2

Release date: 06/24/2019

Version 5.3.1

Release date: 06/06/2019

Version 5.3.0

Release date: 05/28/2019

Version 5.2.8

Release date: 02/05/2019

Version 5.2.7

Release date: 01/16/2019

Version 5.2.6

Release date: 12/25/2018

Version 5.2.4

Release date: 12/12/2018

Version 5.2.3

Release date: 10/31/2018

Version 5.2.2

Release date: 10/05/2018

Version 5.2.0

Release date: 09/28/2018

Version 5.1.5

Release date: 07/18/2018

Version 5.1.4

Release date: 05/24/2018

Version 5.1.3

Release date: 04/27/2018

Version 5.1.2

Release date: 04/11/2018

Version 5.1.1

Release date: 04/05/2018

Version 5.1.0

Release date: 03/28/2018

Version 5.0.7

Release date: 01/16/2018

Version 5.0.6

Release date: 12/11/2017

Version 5.0.5

Release date: 11/28/2017

Version 5.0.4

Release date: 11/14/2017

Version 5.0.3

Release date: 11/02/2017

Version 5.0.2 SaaS only

Release date: 10/13/2017

Version 5.0.1 SaaS only

Release date: 10/05/2017

Version 5.0.0 SaaS only

Release date: 09/23/2017

Version 4.4.4

Release date: 09/13/2017

Windows-only release

See changelog on GitHub

Version 4.4.3

Release date: 08/14/2017

Version 4.4.2

Release date: 07/24/2017

Version 4.4.1

Release date: 07/05/2017

Version 4.3.6

Release date: 06/14/2017

Version 4.3.5

Release date: 06/05/2017

Version 4.3.4

Release date: 05/16/2017

Version 4.3.3

Release date: 04/28/2017

Version 4.3.2

Release date: 04/17/2017

Version 4.3.1

Release date: 04/06/2017

Version 4.3.0

Release date: 04/03/2017

Version 4.2.11

Release date: 03/13/2017

Version 4.2.10

Release date: 02/20/2017

Version 4.2.9

Release date: 02/14/2017

Version 4.2.8

Release date: 02/06/2017

Version 4.2.7

Release date: 02/01/2017

Version 4.2.5

Release date: 01/16/2017

Version 4.2.4

Release date: 01/09/2017

Version 4.2.3

Release date: 12/23/2016

Version 4.2.2

Release date: 12/21/2016

Version 4.2.1

Release date: 12/06/2016

Version 4.2.0

Release date: 12/01/2016

Version 4.1.8

Release date: 11/03/2016

Version 4.1.7

Release date: 11/01/2016

Version 4.1.6

Release date: 10/26/2016

Version 4.1.5

Release date: 10/13/2016

Version 4.1.4

Release date: 10/07/2016

Version 4.1.3

Release date: 09/28/2016

Version 4.1.2

Release date: 09/22/2016

Version 4.0.3

Release date: 08/04/2016

Version 4.0.2

Release date: 08/03/2016

Introduction

Content Security Policy (CSP, stratégie de sécurité de contenu) est un standard de sécurité conçu afin d'assurer la protection contre certaines menaces, par exemple, contre les attaques XSS (Cross-Site Scripting, exécution de scripts entre sites) etc. Quand CSP est activée, elle ne permet de télécharger le contenu qu'à partir des sources approuvées. En particulier, elle bloque toutes les requêtes vers les domaines tiers qui n'ont pas été expressément autorisés.

Si vous utilisez ONLYOFFICE Docs (Enterprise Edition ou Developer Edition) intégré à votre solution web et lorsque CSP est activée sur votre propre serveur afin d'améliorer la sûreté et la sécurité, les paramètres par défaut de CSP peuvent provoquer des problèmes. Les éditeurs en ligne ONLYOFFICE comprennent les plug-ins dont certains utilisent des sources tierces et exécutent les requêtes vers des domaines tiers, par ex. le plug-in YouTube. CSP interdit les requêtes vers les domaines tiers ce qui empêche le fonctionnement correct des plug-ins, par ex. elle bloque le téléchargement de la vidéo YouTube.

Ajout des domaines tiers sur la liste des sources autorisées

Pour assurer le fonctionnement correct il vous faut autoriser les requêtes vers certains domaines (voir liste exhaustive des domaines ci-dessous). Pour le faire il est nécessaire de changer l'en-tête HTTP qui active CSP. En fonction de la solution utilisée cet en-tête peut se trouver dans des fichiers différents. Le présent guide ne décrit que les principes de base et ne s'applique pas à des cas particuliers. L'en-tête doit être comme suit :

Header set Content-Security-Policy "default-src 'self'; script-src 'self'; connect-src 'self';  img-src 'self'; style-src 'self';"

Cette ligne contient les directives qui définissent les sources autorisées pour les différents types de contenu : scripts, feuilles de style, polices, images, éléments HTML5 <audio> ou <video> etc.

La directive default-src s'applique lorsque la directive pour un certain type de source n'est pas spécifiée.

‘self’ signifie que le contenu ne peut être téléchargé qu'à partir du domaine actif.

Il faut modifier la directive default-src en ajoutant les valeurs des domaines de confiance :

default-src 'self' *.trusted1.com *.trusted2.com

Cela permettra d'exécuter les requêtes vers les domaines crédibles spécifiés *.trusted1.com et *.trusted2.com les sous-domaines inclus et d'en télécharger le contenu.

Liste des domaines tiers

Les plug-ins qui exécutent les requêtes vers des domaines tiers sont :

Plug-in Domaine
clipart https://openclipart.org
parole https://code.responsivevoice.org
youtube https://www.youtube.com
thésaurus https://words.bighugelabs.com
traducteur https://translate.yandex.net
ocr https://cdn.rawgit.com

Les plug-ins de la liste ci-dessus qui sont inclus par défaut dans les Editeurs en ligne ONLYOFFICE sont : ocr, parole, thésaurus, traducteur, youtube.

Le plug-in clipart n'est pas inclus dans les éditeurs en ligne, mais il est disponible sur https://github.com/ONLYOFFICE/sdkjs-plugins et vous pouvez l'ajouter aux éditeurs manuellement.

Pour ajouter tous les domaines mentionnés sur la liste des sources autorisées, l'en-tête HTTP doit être comme suit :

Header set Content-Security-Policy "default-src 'self' *openclipart.org *code.responsivevoice.org *www.youtube.com *words.bighugelabs.com *translate.yandex.net *cdn.rawgit.com; script-src 'self'; connect-src 'self'; img-src 'self'; style-src 'self';"
Si vous avez effectué la configuration supplémentaire de ONLYOFFICE Enterprise Edition avec CSP et activé les plug-ins wordpress et easybib, il est également nécessaire de spécifier les domaines *wordpress.com et *easybib.com.
Download Host on your own server Available for
Docker, Windows and Linux
Cela peut vous aider aussi :
Fermer