ONLYOFFICE Docs 9.3 objavljen: unapređeni PDF Editor i više opcija potpisa, višestrani prikaz dokumenata, Solver u tabelama, reprodukcija GIF-ova u režimu slajd-šou prezentacije, AI unapređenja i još mnogo toga
ONLYOFFICE Docs 9.3 objavljen
Ovaj članak je preveden pomoću veštačke inteligencije

Rad sa dodacima uz korišćenje CSP-a

Uvod

Content Security Policy (CSP) je bezbednosni standard namenjen sprečavanju pretnji kao što su Cross-Site Scripting (XSS) napadi. Kada je CSP omogućen na vašem veb serveru, on ograničava učitavanje sadržaja samo na odobrene izvore, blokirajući zahteve ka bilo kojim trećim domenima koji nisu eksplicitno dozvoljeni.

Ako koristite ONLYOFFICE Docs (Enterprise izdanje ili Developer izdanje) integrisano sa vašim veb rešenjem i CSP je omogućen, dodaci koji se oslanjaju na resurse trećih strana će biti blokirani u svom radu. Da biste to rešili, potrebno je da dodate domene koje ti dodaci koriste na vašu CSP listu dozvoljenih.

Dodavanje pouzdanih domena

CSP se konfiguriše putem Content-Security-Policy HTTP zaglavlja. Zaglavlje koristi direktive za specificiranje dozvoljenih izvora za različite tipove sadržaja. Direktiva default-src deluje kao rezervna za bilo koji tip resursa koji nema svoju direktivu. 'self' znači da se sadržaj može učitavati samo sa trenutnog domena.

Tipično zaglavlje izgleda ovako:

Header set Content-Security-Policy "default-src 'self'; script-src 'self'; connect-src 'self'; img-src 'self'; style-src 'self';"

Da biste omogućili dodatku pristup potrebnom eksternom domenu, dodajte taj domen u default-src direktivu:

default-src 'self' *.trusted-domain.com

Ovo omogućava zahteve i učitavanje sadržaja sa specificiranog domena i njegovih poddomena. Ponovite ovo za svaki dodatak koji zahteva eksterni pristup.

Tačna lokacija HTTP zaglavlja zavisi od vašeg veb servera i integracionog podešavanja. Ovaj članak opisuje opšti princip.
Da biste identifikovali koje domene dodatak zahteva, otvorite alatke za razvojne programere u pregledaču, idite na karticu Mreža i pokrenite dodatak. Bilo koji blokirani eksterni zahtevi će se pojaviti kao neuspešni, a domen u tim zahtevima je ono što treba da dodate na vašu CSP listu dozvoljenih.

Primer: omogućavanje YouTube dodatka

Dodatak youtube učitava video sadržaj sa www.youtube.com. Bez dodavanja ovog domena na CSP listu dozvoljenih, dodatak će biti blokiran u učitavanju video zapisa.

Da biste to omogućili, dodajte *www.youtube.com u default-src direktivu:

Header set Content-Security-Policy "default-src 'self' *www.youtube.com; script-src 'self'; connect-src 'self'; img-src 'self'; style-src 'self';"

Primijenite isti pristup za bilo koji drugi instalirani dodatak koji koristi resurse trećih strana, dodajući njegov potrebni domen u direktivu na isti način.

Članak sa oznaka:
Pregledajte sve oznake