- Početna
- Dokumenti
- Instalacija i konfiguracija
- Programer
- Verzija Dockera
- Rad sa dodacima pri korišćenju CSP
Rad sa dodacima pri korišćenju CSP
Uvod
Content Security Policy (CSP) je sigurnosni standard namenjen sprečavanju određenih pretnji, kao što su napadi Cross-Site Scripting (XSS) itd. Kada je CSP omogućen, dozvoljava učitavanje sadržaja samo sa odobrenih izvora. Konkretno, zabranjuje zahteve ka domenima trećih strana koji nisu eksplicitno dozvoljeni.
Ako koristite ONLYOFFICE Docs (Enterprise izdanje ili Developer izdanje) integrisano sa vašim veb rešenjem, i ako je CSP omogućen na vašem veb serveru radi poboljšanja sigurnosnih mera, podrazumevana podešavanja CSP-a mogu izazvati neke probleme. ONLYOFFICE Online Editors uključuju niz dodataka, od kojih neki koriste resurse trećih strana i šalju zahteve ka domenima trećih strana, npr. YouTube dodatak. Pošto CSP zabranjuje zahteve ka domenima trećih strana, ovo sprečava ispravan rad dodataka, npr. blokira učitavanje YouTube videa.
Dodavanje domena trećih strana na listu odobrenih izvora
Da bi dodaci ispravno radili, potrebno je dozvoliti zahteve ka određenim domenima (kompletna lista domena je dostupna ispod). Ovo se može uraditi promenom HTTP zaglavlja koje omogućava CSP. U zavisnosti od rešenja koje koristite, ovo zaglavlje može biti locirano u različitim fajlovima. Ova instrukcija opisuje osnovne principe, a ne pojedinačne slučajeve. Zaglavlje bi trebalo da izgleda ovako:
Header set Content-Security-Policy "default-src 'self'; script-src 'self'; connect-src 'self'; img-src 'self'; style-src 'self';"Ova string sadrži direktive koje određuju odobrene izvore za različite tipove sadržaja: skripte, stilove, fontove, slike, HTML5 <audio> ili <video> elemente, itd.
Direktiva default-src se primenjuje kada direktiva za određeni tip resursa nije specificirana.
‘self’ znači da se sadržaji mogu učitavati samo sa trenutnog domena.
Potrebno je izmeniti direktivu default-src dodavanjem vrednosti pouzdanih domena:
default-src 'self' *.trusted1.com *.trusted2.comOvo će omogućiti slanje zahteva i učitavanje sadržaja sa navedenih pouzdanih domena *.trusted1.com i *.trusted2.com uključujući njihove poddomene.
Lista domena trećih strana
Sledeći dodaci šalju zahteve ka domenima trećih strana:
| Dodatak | Domen |
|---|---|
clipart | https://openclipart.org |
speech | https://code.responsivevoice.org |
youtube | https://www.youtube.com |
thesaurus | https://words.bighugelabs.com |
translate | https://translate.yandex.net |
ocr | https://cdn.rawgit.com |
Sledeći dodaci sa liste iznad su uključeni u ONLYOFFICE Online Editors po defaultu: ocr, speech, thesaurus, translate, youtube.
Dodatak clipart nije uključen u online editore, ali je dostupan na https://github.com/ONLYOFFICE/sdkjs-plugins, i možete ga dodati u editore ručno.
Da biste dodali sve navedene domene na listu odobrenih izvora, HTTP zaglavlje bi trebalo da izgleda ovako:
Header set Content-Security-Policy "default-src 'self' *openclipart.org *code.responsivevoice.org *www.youtube.com *words.bighugelabs.com *translate.yandex.net *cdn.rawgit.com; script-src 'self'; connect-src 'self'; img-src 'self'; style-src 'self';"wordpress i easybib dodatke, takođe ćete morati da navedete domene *wordpress.com i *easybib.com.