ONLYOFFICE Docs 9.3 rilasciato: Editor di PDF migliorato e più opzioni di firma, visualizzazione multipagina per i documenti, Solver nei fogli di calcolo, riproduzione GIF in modalità presentazione, aggiornamenti basati sull’AI e altro ancora.
ONLYOFFICE Docs 9.3 rilasciato
  • Home
  • Lavorare con i plugin quando si utilizza CSP
Questo articolo è stato tradotto dall’AI

Lavorare con i plugin quando si utilizza CSP

Introduzione

Content Security Policy (CSP) è uno standard di sicurezza progettato per prevenire minacce come gli attacchi Cross-Site Scripting (XSS). Quando CSP è abilitato sul tuo server web, limita il caricamento dei contenuti solo a fonti approvate, bloccando le richieste a qualsiasi dominio di terze parti che non sia stato esplicitamente consentito.

Se stai utilizzando ONLYOFFICE Docs (Enterprise Edition o Developer Edition) integrato con la tua soluzione web e CSP è abilitato, i plugin che si basano su risorse di terze parti verranno bloccati dal funzionare correttamente. Per risolvere questo problema, è necessario aggiungere i domini utilizzati da quei plugin alla lista di permessi CSP.

Aggiungere domini fidati

CSP è configurato tramite l'intestazione HTTP Content-Security-Policy. L'intestazione utilizza direttive per specificare le fonti consentite per diversi tipi di contenuto. La direttiva default-src funge da fallback per qualsiasi tipo di risorsa che non ha la propria direttiva. 'self' significa che il contenuto può essere caricato solo dal dominio corrente.

Un'intestazione tipica appare così:

Header set Content-Security-Policy "default-src 'self'; script-src 'self'; connect-src 'self'; img-src 'self'; style-src 'self';"

Per consentire a un plugin di accedere al suo dominio esterno richiesto, aggiungi quel dominio alla direttiva default-src:

default-src 'self' *.trusted-domain.com

Questo consente le richieste e il caricamento di contenuti dal dominio specificato e dai suoi sottodomini. Ripeti questo per ogni plugin che richiede accesso esterno.

La posizione esatta dell'intestazione HTTP dipende dal tuo server web e dalla configurazione dell'integrazione. Questo articolo descrive il principio generale.
Per identificare quali domini richiede un plugin, apri gli strumenti per sviluppatori del browser, vai alla scheda Network ed esegui il plugin. Qualsiasi richiesta esterna bloccata apparirà come fallita, e il dominio in quelle richieste è quello che devi aggiungere alla lista di permessi CSP.

Esempio: consentire il plugin di YouTube

Il plugin youtube carica contenuti video da www.youtube.com. Senza aggiungere questo dominio alla lista di permessi CSP, il plugin sarà bloccato dal caricare video.

Per consentirlo, aggiungi *www.youtube.com alla direttiva default-src:

Header set Content-Security-Policy "default-src 'self' *www.youtube.com; script-src 'self'; connect-src 'self'; img-src 'self'; style-src 'self';"

Applica lo stesso approccio per qualsiasi altro plugin installato che utilizza risorse di terze parti, aggiungendo il dominio richiesto alla direttiva nello stesso modo.

Voci con l'etichetta tag:
Sfoglia tutti i tag