Directrices de CSP y listas blancas para el widget de Document360

La política de seguridad de contenido (CSP) es una característica de seguridad que ayuda a prevenir ataques como Cross-Site Scripting (XSS) al permitir a los desarrolladores especificar qué fuentes de contenido son de confianza y pueden ser cargadas por el navegador.

La lista blanca en los productos de software implica especificar una lista de entidades aprobadas (por ejemplo, direcciones IP, dominios, direcciones de correo electrónico) a las que se les permite acceder a ciertos recursos o realizar acciones específicas, bloqueando así cualquier entidad que no esté en la lista para mejorar la seguridad.

Adición de fuentes de contenido de confianza para el widget de Document360

Al utilizar el widget de Document360, es necesario añadir determinadas fuentes de contenido de confianza a su CSP existente. Esto garantiza que el widget funcione correctamente y de forma segura.

Para usuarios de EE. UU.

Agregue las siguientes fuentes a las connect-srcdirectivas , script-src-elem, font-src, y style-src-elem :

<!DOCTYPE html>
<html lang="en">
<head>
    <meta http-equiv="Content-Security-Policy" content="
    connect-src 
        https://jx9o5re9su-dsn.algolia.net
        https://apihub.us.document360.io/
        https://api.us.document360.io/
        https://gateway.us.document360.io
        https://*.algolianet.com
        https://js.monitor.azure.com;
    script-src-elem 
        'nonce-document360Nonce'
        https://cdn.us.document360.io
        https://*.algolianet.com
        https://cdn.jsdelivr.net
        https://cdnjs.cloudflare.com
        https://floik.com/exe/
        *.floik.com;
    font-src 
        https://fonts.gstatic.com
        https://cdn.us.document360.io;
    style-src-elem 
        'unsafe-inline'
        'unsafe-eval'
        https://cdn.us.document360.io/
        https://cdn.jsdelivr.net
        https://fonts.googleapis.com;">
</head>
</html>

Reemplácelo "document360Nonce" con la variable nonce que ya está disponible en su sistema.

Para usuarios de la UE

Agregue las siguientes fuentes a las connect-srcdirectivas , script-src-elem, font-src, y style-src-elem :

<!DOCTYPE html>
<html lang="en">
<head>
    <meta http-equiv="Content-Security-Policy" content="
    connect-src 
        https://jx9o5re9su-dsn.algolia.net
        https://apihub.document360.io/
        https://api.document360.io/
        https://gateway.document360.io
        https://*.algolianet.com
        https://js.monitor.azure.com;
    script-src-elem 
        'nonce-document360Nonce'
        https://cdn.document360.io
        https://*.algolianet.com
        https://cdn.jsdelivr.net
        https://cdnjs.cloudflare.com
        https://floik.com/exe/
        *.floik.com;
    font-src 
        https://fonts.gstatic.com
        https://cdn.document360.io;
    style-src-elem 
        'unsafe-inline'
        'unsafe-eval'
        https://cdn.document360.io/
        https://cdn.jsdelivr.net
        https://fonts.googleapis.com;">
</head>
</html>

Reemplácelo "document360Nonce" con la variable nonce que ya está disponible en su sistema.

Actualización de la configuración del widget

En el portal de la base de conocimientos:

1. Vaya a Widget () en la barra lateral de navegación izquierda.

2. Seleccione el widget deseado y haga clic en Editar ().

3. En la pestaña Configurar y conectar , expanda el acordeón de JavaScript del widget en el grupo Conexiones .

Para clientes de EE. UU.

Actualice su código de la siguiente manera, reemplazándolo "document360Nonce" con la variable nonce que ya está disponible en su sistema:

<!-- Document360 knowledge base assistant start -->
    <script nonce="document360Nonce">
        (function (w,d,s,o,f,js,fjs) {
            w['JS-Widget']=o;w[o] = w[o] || function () { (w[o].q = w[o].q || []).push(arguments) };
            js = d.createElement(s), fjs = d.getElementsByTagName(s)[0];
            js.id = o; js.src = f; js.async = 1; fjs.parentNode.insertBefore(js, fjs);
        }(panel, document, 'script', 'mw', './widget.js'));
        mw('init', { nonce:'document360Nonce',apiKey: 'klhgeGoqB8wlUwq2hraJ1zbOCq/V+wBiyGQNhXEKQ6MO7V1AhLuakiEimM6ims92AR7Bqt/eOaAz3SgInMvZTkZrt3F7QaEmWtX7DDDTtIJTruZdyIv+bDBTKVuPx4BsVUavm68/y4HV7h0ahKmDgQ==' });
        //var jQuery_2_2_4 = $.noConflict(true);
    </script>
  <!-- Document360 knowledge base assistant end -->

Para clientes de la UE

Actualice su código de la siguiente manera, reemplazándolo "document360Nonce" con la variable nonce que ya está disponible en su sistema:

    <!-- Document360 knowledge base assistant start -->
    <script nonce="document360Nonce">
        (function (w,d,s,o,f,js,fjs) {
            w['JS-Widget']=o;w[o] = w[o] || function () { (w[o].q = w[o].q || []).push(arguments) };
            js = d.createElement(s), fjs = d.getElementsByTagName(s)[0];
            js.id = o; js.src = f; js.async = 1; fjs.parentNode.insertBefore(js, fjs);
        }(panel, document, 'script', 'mw', './widget.js'));
        mw('init', { nonce:'document360Nonce',apiKey: 'klhgeGoqB8wlUwq2hraJ1zbOCq/V+wBiyGQNhXEKQ6MO7V1AhLuakiEimM6ims92AR7Bqt/eOaAz3SgInMvZTkZrt3F7QaEmWtX7DDDTtIJTruZdyIv+bDBTKVuPx4BsVUavm68/y4HV7h0ahKmDgQ==' });
        //var jQuery_2_2_4 = $.noConflict(true);
    </script>
  <!-- Document360 knowledge base assistant end -->

Siguiendo estos pasos, puede asegurarse de que el widget de Document360 funciona de forma segura y eficaz en su entorno.

Solución de problemas

No se puede ver cierto contenido en el sitio

Error: Este contenido está bloqueado. Póngase en contacto con el propietario del sitio para solucionar este problema

Es posible que se produzca este problema cuando la configuración de CSP en el portal de Knowledge Base bloquee el contenido solicitado. Por lo general, ocurre debido a restricciones en las URL de origen de archivos o configuraciones de CSP incorrectas.

Pasos para resolverlo:

1. Actualice la política de seguridad de contenido:

   un. Vaya a Configuración () en la barra de navegación izquierda de la Portal de la base de conocimientos.

   b. En el panel de navegación izquierdo, vaya a Usuarios y seguridad > Seguridad.

   c. En la sección Política de seguridad de contenido , agregue la URL del dominio afectado al campo Origen para incluir en la lista blanca las URL de origen de archivo necesarias.

   Si no desea habilitar esta función, desactive la opción Política de seguridad de contenido .

2. Borra la caché de tu navegador: Después de realizar cambios, borre la memoria caché de su navegador y vuelva a visitar el sitio para verificar si el problema se resuelve. Es posible que la configuración actualizada tarde unos minutos en surtir efecto.

3. Pruebe el artículo en diferentes entornos:

   un. Abra el artículo en un panel de incógnito.

   b. Pruébelo en diferentes navegadores para confirmar que el problema se ha solucionado.

4. Revise la configuración del widget de KB: Asegúrese de que la configuración de CSP de la aplicación esté configurada correctamente para evitar errores en el widget de la base de conocimientos.

   Si el problema persiste después de seguir estos pasos, póngase en contacto con el equipo de soporte de Document360 para obtener más ayuda: Póngase en contacto con el equipo de soporte de Document360

   Proporcione los siguientes detalles:

   un. Para comprobar si el CSP se ha aplicado correctamente, abra la pestaña Red en las herramientas para desarrolladores del explorador.

   b. Comparta los detalles de los encabezados de respuesta para confirmar la presencia y la configuración del CSP.