- Home
- Docs
- Installazione e configurazione
- Sviluppatore
- Versione di Docker
- Lavorare con i plugin utilizzando CSP
Lavorare con i plugin utilizzando CSP
Introduzione
Content Security Policy (CSP) è uno standard di sicurezza progettato per prevenire alcune minacce, come gli attacchi Cross-Site Scripting (XSS) ecc. Quando CSP è abilitato, consente di caricare i contenuti solo da fonti approvate. In particolare, vieta le richieste a domini di terze parti che non sono stati esplicitamente consentiti.
Se stai utilizzando ONLYOFFICE Docs (Enterprise Edition o Developer Edition) integrato con la tua soluzione web, e se CSP è abilitato sul tuo server web per migliorare le misure di sicurezza, le impostazioni predefinite di CSP potrebbero causare alcuni problemi. Gli editor online di ONLYOFFICE includono una serie di plugin, alcuni dei quali utilizzano risorse di terze parti e fanno richieste a domini di terze parti, ad esempio il plugin YouTube. Poiché CSP vieta le richieste a domini di terze parti, ciò impedisce il corretto funzionamento dei plugin, ad esempio bloccando il caricamento dei video di YouTube.
Aggiungere domini di terze parti all'elenco delle fonti consentite
Per far funzionare correttamente i plugin, è necessario consentire le richieste a determinati domini (l'elenco completo dei domini è disponibile di seguito). Questo può essere fatto modificando l'intestazione HTTP che abilita CSP. A seconda della soluzione che utilizzi, questa intestazione può trovarsi in file diversi. Questa istruzione descrive i principi di base, non i casi individuali. L'intestazione dovrebbe apparire così:
Header set Content-Security-Policy "default-src 'self'; script-src 'self'; connect-src 'self'; img-src 'self'; style-src 'self';"Questa stringa contiene direttive che specificano le fonti consentite per diversi tipi di contenuti: script, fogli di stile, font, immagini, elementi HTML5 <audio> o <video>, ecc.
La direttiva default-src viene applicata quando una direttiva per un certo tipo di risorsa non è specificata.
‘self’ significa che i contenuti possono essere caricati solo dal dominio corrente.
È necessario modificare la direttiva default-src aggiungendo i valori dei domini fidati:
default-src 'self' *.trusted1.com *.trusted2.comQuesto permetterà di effettuare richieste e caricare contenuti dai domini fidati specificati *.trusted1.com e *.trusted2.com inclusi i loro sottodomini.
Elenco di domini di terze parti
I seguenti plugin fanno richieste a domini di terze parti:
| Plugin | Dominio |
|---|---|
clipart | https://openclipart.org |
speech | https://code.responsivevoice.org |
youtube | https://www.youtube.com |
thesaurus | https://words.bighugelabs.com |
translate | https://translate.yandex.net |
ocr | https://cdn.rawgit.com |
I seguenti plugin tra quelli elencati sopra sono inclusi di default negli editor online di ONLYOFFICE: ocr, speech, thesaurus, translate, youtube.
Il plugin clipart non è incluso negli editor online, ma è disponibile su https://github.com/ONLYOFFICE/sdkjs-plugins, e puoi aggiungerlo manualmente agli editor.
Per aggiungere tutti i domini menzionati nell'elenco delle fonti consentite, l'intestazione HTTP dovrebbe apparire così:
Header set Content-Security-Policy "default-src 'self' *openclipart.org *code.responsivevoice.org *www.youtube.com *words.bighugelabs.com *translate.yandex.net *cdn.rawgit.com; script-src 'self'; connect-src 'self'; img-src 'self'; style-src 'self';"wordpress e easybib, dovrai anche specificare i domini *wordpress.com e *easybib.com.