CSP- und Whitelisting-Richtlinien für das Document360-Widget

Content Security Policy (CSP) ist eine Sicherheitsfunktion, die dazu beiträgt, Angriffe wie Cross-Site Scripting (XSS) zu verhindern, indem Entwickler angeben können, welche Inhaltsquellen vertrauenswürdig sind und vom Browser geladen werden können.

Beim Whitelisting in Softwareprodukten wird eine Liste genehmigter Entitäten (z. B. IP-Adressen, Domänen, E-Mail-Adressen) angegeben, die auf bestimmte Ressourcen zugreifen oder bestimmte Aktionen ausführen dürfen, wodurch alle Entitäten, die nicht auf der Liste stehen, blockiert werden, um die Sicherheit zu erhöhen.

Hinzufügen vertrauenswürdiger Inhaltsquellen für das Document360-Widget

Wenn Sie das Document360-Widget verwenden, müssen bestimmte vertrauenswürdige Inhaltsquellen zu Ihrem vorhandenen CSP hinzugefügt werden. Dadurch wird sichergestellt, dass das Widget korrekt und sicher funktioniert.

Für US-Nutzer

Fügen Sie die folgenden Quellen zu Ihren connect-srcscript-src-elem, , font-srcund style-src-elem -Direktiven hinzu:

<!DOCTYPE html>
<html lang="en">
<head>
    <meta http-equiv="Content-Security-Policy" content="
    connect-src 
        https://jx9o5re9su-dsn.algolia.net
        https://apihub.us.document360.io/
        https://api.us.document360.io/
        https://gateway.us.document360.io
        https://*.algolianet.com
        https://js.monitor.azure.com;
    script-src-elem 
        'nonce-document360Nonce'
        https://cdn.us.document360.io
        https://*.algolianet.com
        https://cdn.jsdelivr.net
        https://cdnjs.cloudflare.com
        https://floik.com/exe/
        *.floik.com;
    font-src 
        https://fonts.gstatic.com
        https://cdn.us.document360.io;
    style-src-elem 
        'unsafe-inline'
        'unsafe-eval'
        https://cdn.us.document360.io/
        https://cdn.jsdelivr.net
        https://fonts.googleapis.com;">
</head>
</html>

Ersetzen Sie "document360Nonce" sie durch die Nonce-Variable, die bereits in Ihrem System verfügbar ist.

Für EU-Nutzer

Fügen Sie die folgenden Quellen zu Ihren connect-srcscript-src-elem, , font-srcund style-src-elem -Direktiven hinzu:

<!DOCTYPE html>
<html lang="en">
<head>
    <meta http-equiv="Content-Security-Policy" content="
    connect-src 
        https://jx9o5re9su-dsn.algolia.net
        https://apihub.document360.io/
        https://api.document360.io/
        https://gateway.document360.io
        https://*.algolianet.com
        https://js.monitor.azure.com;
    script-src-elem 
        'nonce-document360Nonce'
        https://cdn.document360.io
        https://*.algolianet.com
        https://cdn.jsdelivr.net
        https://cdnjs.cloudflare.com
        https://floik.com/exe/
        *.floik.com;
    font-src 
        https://fonts.gstatic.com
        https://cdn.document360.io;
    style-src-elem 
        'unsafe-inline'
        'unsafe-eval'
        https://cdn.document360.io/
        https://cdn.jsdelivr.net
        https://fonts.googleapis.com;">
</head>
</html>

Ersetzen Sie "document360Nonce" sie durch die Nonce-Variable, die bereits in Ihrem System verfügbar ist.

Aktualisieren der Widget-Konfiguration

Gehen Sie in Ihrem Wissensdatenbank-Portal wie folgt vor:

1. Gehen Sie zu Widget () in der linken Navigationsleiste.

2. Wählen Sie das gewünschte Widget aus und klicken Sie auf Bearbeiten ().

3. Erweitern Sie auf der Registerkarte Konfigurieren und Verbinden das Widget-JavaScript-Akkordeon unter der Gruppe Verbindung .

Für US-Kunden

Aktualisieren Sie Ihren Code wie folgt, und ersetzen Sie "document360Nonce" ihn durch die Nonce-Variable, die bereits in Ihrem System verfügbar ist:

<!-- Document360 knowledge base assistant start -->
    <script nonce="document360Nonce">
        (function (w,d,s,o,f,js,fjs) {
            w['JS-Widget']=o;w[o] = w[o] || function () { (w[o].q = w[o].q || []).push(arguments) };
            js = d.createElement(s), fjs = d.getElementsByTagName(s)[0];
            js.id = o; js.src = f; js.async = 1; fjs.parentNode.insertBefore(js, fjs);
        }(panel, document, 'script', 'mw', './widget.js'));
        mw('init', { nonce:'document360Nonce',apiKey: 'klhgeGoqB8wlUwq2hraJ1zbOCq/V+wBiyGQNhXEKQ6MO7V1AhLuakiEimM6ims92AR7Bqt/eOaAz3SgInMvZTkZrt3F7QaEmWtX7DDDTtIJTruZdyIv+bDBTKVuPx4BsVUavm68/y4HV7h0ahKmDgQ==' });
        //var jQuery_2_2_4 = $.noConflict(true);
    </script>
  <!-- Document360 knowledge base assistant end -->

Für EU-Kunden

Aktualisieren Sie Ihren Code wie folgt, und ersetzen Sie "document360Nonce" ihn durch die Nonce-Variable, die bereits in Ihrem System verfügbar ist:

    <!-- Document360 knowledge base assistant start -->
    <script nonce="document360Nonce">
        (function (w,d,s,o,f,js,fjs) {
            w['JS-Widget']=o;w[o] = w[o] || function () { (w[o].q = w[o].q || []).push(arguments) };
            js = d.createElement(s), fjs = d.getElementsByTagName(s)[0];
            js.id = o; js.src = f; js.async = 1; fjs.parentNode.insertBefore(js, fjs);
        }(panel, document, 'script', 'mw', './widget.js'));
        mw('init', { nonce:'document360Nonce',apiKey: 'klhgeGoqB8wlUwq2hraJ1zbOCq/V+wBiyGQNhXEKQ6MO7V1AhLuakiEimM6ims92AR7Bqt/eOaAz3SgInMvZTkZrt3F7QaEmWtX7DDDTtIJTruZdyIv+bDBTKVuPx4BsVUavm68/y4HV7h0ahKmDgQ==' });
        //var jQuery_2_2_4 = $.noConflict(true);
    </script>
  <!-- Document360 knowledge base assistant end -->

Wenn Sie die folgenden Schritte ausführen, können Sie sicherstellen, dass das Document360-Widget in Ihrer Umgebung sicher und effizient ausgeführt wird.

Fehlerbehebung

Bestimmte Inhalte auf der Website können nicht angezeigt werden

Fehler: Dieser Inhalt ist blockiert. Wenden Sie sich an den Websitebesitzer, um dieses Problem zu beheben

Dieses Problem kann auftreten, wenn die CSP-Einstellungen im Knowledge Base-Portal den angeforderten Inhalt blockieren. Dies geschieht in der Regel aufgrund von Einschränkungen bei Dateiquell-URLs oder falschen CSP-Konfigurationen.

Schritte zur Behebung:

1. Aktualisieren Sie die Content Security-Richtlinie:

   ein. Navigieren Sie in der linken Navigationsleiste der zu Einstellungen ().

   b. Navigieren Sie im linken Navigationsbereich zu Benutzer & Sicherheit > Sicherheit.

   c. Fügen Sie im Abschnitt Content Security Policy die betroffene Domain-URL zum Feld Quelle hinzu, um die erforderlichen Dateiquell-URLs auf die Whitelist zu setzen.

   Wenn Sie diese Funktion nicht aktivieren möchten, deaktivieren Sie die Option Content Security Policy .

2. Löschen Sie den Cache Ihres Browsers: Nachdem Sie Änderungen vorgenommen haben, leeren Sie den Cache Ihres Browsers und besuchen Sie die Website erneut, um zu überprüfen, ob das Problem behoben ist. Es kann einige Augenblicke dauern, bis die aktualisierten Einstellungen wirksam werden.

3. Testen Sie den Artikel in verschiedenen Umgebungen:

   ein. Öffnen Sie den Artikel in einem Inkognito-Fenster.

   b. Testen Sie es in verschiedenen Browsern, um sicherzustellen, dass das Problem behoben ist.

4. Überprüfen Sie die Einstellungen des KB-Widgets: Stellen Sie sicher, dass die CSP-Einstellungen der Anwendung korrekt konfiguriert sind, um Fehler im Wissensdatenbank-Widget zu vermeiden.

   Wenn das Problem nach dem Ausführen dieser Schritte weiterhin besteht, wenden Sie sich an das Document360-Support-Team, um weitere Unterstützung zu erhalten: Wenden Sie sich an den Document360-Support

   Geben Sie die folgenden Details an:

   ein. Um zu überprüfen, ob der CSP ordnungsgemäß angewendet wurde, öffnen Sie die Registerkarte Netzwerk in den Entwicklertools Ihres Browsers.

   b. Geben Sie die Details der Antwortheader weiter, um das Vorhandensein und die Konfiguration des CSP zu bestätigen.