Política de seguridad de contenidos

Planes que admiten esta función: Enterprise

La Política de Seguridad de Contenidos (CSP) es una función relacionada con la seguridad que ayuda a gestionar y prevenir el CSS externo, scripts y marcos incrustados en tu base de conocimiento. Cuando la política de seguridad de contenido está activada en el proyecto, la Content-Security-Policy cabecera de respuesta se añadirá a la cabecera de la solicitud con los dominios permitidos por defecto para cada fuente. Restringe la carga de recursos desde dominios externos y permite recursos solo de la lista configurada de dominios para cada fuente.

Activar la política de seguridad de contenidos

Settings page showing content security policy configuration options and related instructions.

Pasa el cursor en Configuración () en la barra de navegación izquierda del Portal de la base de conocimientos.
En el submenú, selecciona Sitio de la base de conocimientos y navega a Seguridad.
Activa el interruptor Activar política de seguridad de contenido .
Puedes encontrar los siguientes campos fuente:
a. Fuente de estilo
b. Fuente del guion
c. Fuente del marco.
Escribe las URLs de dominio deseadas en los campos correspondientes.
Haz clic en Guardar.

NOTA
El límite de caracteres para cada límite es de 5000.
Usa comas (,) para separar las URLs.
Mantén las URLs en el siguiente formato: https://example.com.

un. Fuente de estilo

En el campo fuente de Estilo , puedes definir las fuentes válidas de hojas de estilo que se pueden aplicar a tu base de conocimientos. Configurar las fuentes de estilos evitará que se utilicen estilos maliciosos para ejecutar ataques de Cross-Site Scripting (XSS) en tu base de conocimiento.

Escribe las URLs de dominio de las fuentes de la hoja de estilo en este campo.
Todas las hojas de estilo de otras URLs estarán restringidas.

NOTA
Asegúrate de haber añadido un marcador de posición de atributo Nonce en todas las secciones de scripts HTML personalizados.
Ejemplo:<Script nonce='{{Document360-Nonce}}'>

b. Fuente del guion

En el campo fuente Script , puedes definir las fuentes válidas de códigos JavaScript que pueden ejecutarse en tu base de conocimiento. Esto ayuda a evitar que se ejecute código JavaScript malicioso, incluso si ha sido inyectado en la base de conocimientos por un atacante.

Escribe las URLs de dominio de las fuentes Javascript en este campo.
Todos los códigos JavaScript de otras URLs estarán restringidos.

c. Fuente de trama

En el campo fuente de Frame , puedes definir las fuentes válidas de elementos de frame como <frame> y <iframe> que pueden incrustarse en tu base de conocimientos.

Escribe las URLs de dominio de las fuentes de tramas en este campo.
Todos los frames de otras URLs estarán restringidos.

Probando la configuración de tu política de seguridad de contenido

Después de configurar tu CSP, es importante verificar que los ajustes funcionen como se espera. Para comprobar si la política de seguridad de contenidos se ha aplicado correctamente:

Abre la pestaña de Red en las herramientas de desarrollo de tu navegador.
Visita tu base de conocimientos y revisa los encabezados de respuesta del CSP.
Alternativamente, puedes usar herramientas online como securityheaders.com para verificar si tu sitio web tiene los encabezados correctos de Política de Seguridad de Contenido .

Preguntas frecuentes

¿Por qué mi vídeo aparece como "Este contenido está bloqueado" en un artículo pero no en otro?

Este problema suele ocurrir debido a la configuración de Política de Seguridad de Contenido (CSP) en Document360. Puede que el vídeo no esté permitido por la configuración actual del CSP. Diferentes artículos pueden tener diferentes configuraciones de CSP. Asegúrate de que la fuente de vídeo esté permitida en la configuración CSP para todos los artículos donde el vídeo deba mostrarse.

¿Cómo puedo resolver el problema de un vídeo bloqueado en mi artículo?

Para solucionar esto,

Pasa el cursor en Configuración () en la barra de navegación izquierda del Portal de la base de conocimientos.
En el submenú, selecciona Sitio de la base de conocimientos y navega a Seguridad.
En la sección Activar política de seguridad de contenido , añade la fuente de vídeo (por ejemplo, https://www.youtube.com/) a la lista de "Fuente de fotogramas" y haz clic en Guardar.

¿Por qué mi validación de CSP indica que falta CSP en la cabecera de respuesta?

En Document360, la Política de Seguridad de Contenido (CSP) se implementa usando metaelementos en lugar del encabezado de respuesta. Si validas CSP inspeccionando la cabecera de respuesta, aparecerá que CSP falta o está inactivo.

Para confirmar que CSP está activado en tu sitio de la base de conocimiento, sigue estos pasos:

Abre tu base de conocimientos en un navegador.
Haz clic derecho en cualquier parte de la página web y selecciona Ver fuente de la página.
El código fuente de la página aparecerá.
Utiliza la función de búsqueda (Ctrl + F en Windows o Cmd + F en Mac) y busca el término "Política de Seguridad-Contenido".
Si se encuentra el término "Política de Seguridad-Contenido", la configuración del CSP aparecerá como el código que sigue a este término.

Al validar mediante el elemento meta en el código fuente de la página, puedes confirmar que CSP está habilitado para tu sitio de la Knowledge Base.

¿Puedo permitir que dominios específicos incrusten mi Base de Conocimientos?

Sí, puedes especificar los dominios permitidos en la configuración de política de seguridad de contenido de la fuente de tramas de Frame.

¿Puedo añadir un proyecto privado dentro de un iframe?

No, los proyectos privados no pueden estar integrados en un iframe.

Las cookies de autenticación no se configuran correctamente dentro de los iframes, lo que provoca intentos repetidos de inicio de sesión y errores de redirección. Por razones de seguridad, la configuración de cookies no puede relajarse.

Usa un widget de base de conocimientos si necesitas incrustar la base de conocimientos en otra aplicación.