Content Security Policy (CSP) ist eine Sicherheitsfunktion, die Angriffe wie Cross-Site Scripting (XSS) verhindert, indem sie es Entwicklern erlaubt, anzugeben, welche Inhaltsquellen vertrauenswürdig sind und welche vom Browser geladen werden können.
Whitelisting in Softwareprodukten beinhaltet die Angabe einer Liste genehmigter Einheiten (z. B. IP-Adressen, Domains, E-Mail-Adressen), die auf bestimmte Ressourcen zugreifen oder bestimmte Aktionen ausführen dürfen, wodurch alle nicht auf der Liste stehenden Entitäten blockiert werden, um die Sicherheit zu erhöhen.
Hinzufügen vertrauenswürdiger Inhaltsquellen für das Document360-Widget
Wenn Sie das Document360-Widget verwenden, müssen bestimmte vertrauenswürdige Inhaltsquellen zu Ihrem bestehenden CSP hinzugefügt werden. Dies stellt sicher, dass das Widget korrekt und sicher funktioniert.
Für US-Nutzer
Füge die folgenden Quellen zu deinen connect-src, script-src-elem, font-src, und Direktiven style-src-elem hinzu:
<!DOCTYPE html>
<html lang="en">
<head>
<meta http-equiv="Content-Security-Policy" content="
connect-src
https://2ql92r65q8-dsn.algolia.net/
https://apihub.us.document360.io/
https://api.us.document360.io/
https://gateway.us.document360.io
https://*.algolianet.com
https://js.monitor.azure.com;
script-src-elem
'nonce-document360Nonce'
https://cdn.us.document360.io
https://*.algolianet.com
https://cdn.jsdelivr.net
https://cdnjs.cloudflare.com
https://floik.com/exe/
*.floik.com;
font-src
https://fonts.gstatic.com
https://cdn.us.document360.io;
style-src-elem
'unsafe-inline'
'unsafe-eval'
https://cdn.us.document360.io/
https://cdn.jsdelivr.net
https://fonts.googleapis.com;">
</head>
</html>Ersetze "document360Nonce" sie durch die bereits vorhandene Nonce-Variable in deinem System.
Für EU-Nutzer
Füge die folgenden Quellen zu deinen connect-src, script-src-elem, font-src, und Direktiven style-src-elem hinzu:
<!DOCTYPE html>
<html lang="en">
<head>
<meta http-equiv="Content-Security-Policy" content="
connect-src
https://jx9o5re9su-dsn.algolia.net
https://apihub.document360.io/
https://api.document360.io/
https://gateway.document360.io
https://*.algolianet.com
https://js.monitor.azure.com;
script-src-elem
'nonce-document360Nonce'
https://cdn.document360.io
https://*.algolianet.com
https://cdn.jsdelivr.net
https://cdnjs.cloudflare.com
https://floik.com/exe/
*.floik.com;
font-src
https://fonts.gstatic.com
https://cdn.document360.io;
style-src-elem
'unsafe-inline'
'unsafe-eval'
https://cdn.document360.io/
https://cdn.jsdelivr.net
https://fonts.googleapis.com;">
</head>
</html>Ersetze "document360Nonce" sie durch die bereits vorhandene Nonce-Variable in deinem System.
HINWEIS
Die Algolia-Host-URL in connect-src ist umgebungsspezifisch. Wenn du dir über den genauen Host deiner Umgebung unsicher bist, nutze stattdessen die Wildcard https://*.algolia.net in deiner connect-src-Direktive. Dies deckt alle Algolia-Umgebungen ab und verhindert CSP-Fehler durch nicht übereinstimmende Hostnamen.
Aktualisierung deiner Widget-Konfiguration
In Ihrem Wissensdatenbankportal:
Gehe in der linken Seitenleiste zu Widget () in der linken Navigation.
Wählen Sie das erforderliche Widget aus und klicken Sie auf Bearbeiten ().
Im Reiter "Konfigurieren und verbinden " erweitern Sie das JavaScript-Akkordeon des Widgets unter der Verbindungsgruppe .
Für US-Kunden
Aktualisieren Sie Ihren Code wie folgt und ersetzen "document360Nonce" Sie die bereits in Ihrem System verfügbare Nonce-Variable:
<!-- Document360 knowledge base assistant start -->
<script nonce="document360Nonce">
(function (w,d,s,o,f,js,fjs) {
w['JS-Widget']=o;w[o] = w[o] || function () { (w[o].q = w[o].q || []).push(arguments) };
js = d.createElement(s), fjs = d.getElementsByTagName(s)[0];
js.id = o; js.src = f; js.async = 1; fjs.parentNode.insertBefore(js, fjs);
}(panel, document, 'script', 'mw', './widget.js'));
mw('init', { nonce:'document360Nonce',apiKey: 'klhgeGoqB8wlUwq2hraJ1zbOCq/V+wBiyGQNhXEKQ6MO7V1AhLuakiEimM6ims92AR7Bqt/eOaAz3SgInMvZTkZrt3F7QaEmWtX7DDDTtIJTruZdyIv+bDBTKVuPx4BsVUavm68/y4HV7h0ahKmDgQ==' });
//var jQuery_2_2_4 = $.noConflict(true);
</script>
<!-- Document360 knowledge base assistant end -->Für EU-Kunden
Aktualisieren Sie Ihren Code wie folgt und ersetzen "document360Nonce" Sie die bereits in Ihrem System verfügbare Nonce-Variable:
<!-- Document360 knowledge base assistant start -->
<script nonce="document360Nonce">
(function (w,d,s,o,f,js,fjs) {
w['JS-Widget']=o;w[o] = w[o] || function () { (w[o].q = w[o].q || []).push(arguments) };
js = d.createElement(s), fjs = d.getElementsByTagName(s)[0];
js.id = o; js.src = f; js.async = 1; fjs.parentNode.insertBefore(js, fjs);
}(panel, document, 'script', 'mw', './widget.js'));
mw('init', { nonce:'document360Nonce',apiKey: 'klhgeGoqB8wlUwq2hraJ1zbOCq/V+wBiyGQNhXEKQ6MO7V1AhLuakiEimM6ims92AR7Bqt/eOaAz3SgInMvZTkZrt3F7QaEmWtX7DDDTtIJTruZdyIv+bDBTKVuPx4BsVUavm68/y4HV7h0ahKmDgQ==' });
//var jQuery_2_2_4 = $.noConflict(true);
</script>
<!-- Document360 knowledge base assistant end -->Indem Sie diese Schritte befolgen, können Sie sicherstellen, dass das Document360-Widget in Ihrer Umgebung sicher und effizient funktioniert.
Fehlerbehebung
Bestimmte Inhalte auf der Seite können nicht angezeigt werden
Fehler: Dieser Inhalt ist blockiert. Kontaktieren Sie den Seitenbetreiber, um dieses Problem zu beheben
Du könntest auf dieses Problem stoßen, wenn die CSP-Einstellungen im Knowledge Base-Portal den gewünschten Inhalt blockieren. Dies passiert typischerweise aufgrund von Einschränkungen bei Dateiquellen-URLs oder falschen CSP-Konfigurationen.
Schritte zur Lösung:
Aktualisierung der Inhaltssicherheitsrichtlinie:
a. Navigiere zu Einstellungen () in der linken Navigationsleiste im Knowledge base portal.
b. Im linken Navigationsfenster navigieren Sie zu Users & Security > Security.
c. Fügen Sie unter dem Abschnitt Content Security Policy die betroffene Domain-URL im Quellfeld hinzu, um die erforderlichen Quell-URLs auf die Whitelist zu setzen.
Wenn Sie diese Funktion nicht aktivieren möchten, schalten Sie die Option Inhaltssicherheitsrichtlinie aus.
Löschen Sie Ihren Browser-Cache: Nachdem Sie Änderungen vorgenommen haben, löschen Sie Ihren Browser-Cache und besuchen Sie die Seite erneut, um zu überprüfen, ob das Problem behoben ist. Es kann ein paar Momente dauern, bis die aktualisierten Einstellungen wirksam werden.
Testen Sie den Artikel in verschiedenen Umgebungen:
a. Öffnen Sie den Artikel in einem Inkognito-Panel.
b. Teste es in verschiedenen Browsern, um sicherzugehen, dass das Problem behoben ist.
Überprüfen Sie die KB-Widget-Einstellungen: Stellen Sie sicher, dass die CSP-Einstellungen der Anwendung korrekt konfiguriert sind, um Fehler im Knowledge Base-Widget zu vermeiden.
Wenn das Problem nach dem Ausführen dieser Schritte weiterhin besteht, wenden Sie sich an das Document360-Support-Team, um weitere Unterstützung zu erhalten: Wenden Sie sich an den Document360-Support
Geben Sie folgende Details an:
a. Um zu überprüfen, ob das CSP korrekt angewendet wurde, öffnen Sie den Reiter Netzwerk in den Entwicklertools Ihres Browsers.
b. Teilen Sie die Details der Antwortheader, um das Vorhandensein und die Konfiguration des CSP zu bestätigen.
FAQ
Warum wird die Scrollleiste im Knowledge Base-Widget nicht angezeigt?
Das Problem könnte mit den CSP-Regeln deiner Anwendung zusammenhängen. Wenn deine Domain in deinem CSP nicht auf der Whitelist steht, kann das verhindern, dass die Scroll-Funktionalität richtig funktioniert. Um dieses Problem zu lösen, fügen Sie die Domain-URL zum CSP Ihrer Anwendung hinzu.