Politique de sécurité du contenu

Offres prenant en charge cette fonctionnalité : Entreprise

La politique de sécurité du contenu (CSP) est une fonctionnalité liée à la sécurité qui aide à gérer et à prévenir le CSS externe, les scripts et les cadres intégrés dans votre base de connaissances. Lorsque la politique de sécurité du contenu est activée dans le projet, l’en-tête Content-Security-Policy de réponse sera ajouté à l’en-tête de requête avec les domaines autorisés par défaut pour chaque source. Il limite la charge des ressources depuis les domaines externes et permet uniquement les ressources de la liste configurée des domaines pour chaque source.

Activez la politique de sécurité du contenu

Settings page showing content security policy configuration options and related instructions.

Passez la souris sur Paramètres () dans la barre de navigation de gauche du Knowledge base portal.
Dans le sous-menu, sélectionnez Site de la base de connaissances et allez jusqu’à Sécurité.
Activez l’option Activer la politique de sécurité du contenu .
Vous pouvez trouver les champs sources suivants :
a. Source du style
b. Source du script
c. Source du cadre.
Tapez les URL de domaine souhaitées dans les champs respectifs.
Cliquez sur Enregistrer.

NOTE
La limite de caractères pour chaque limite est de 5000.
Utilisez des virgules (,) pour séparer les URL.
Conservez les URL dans le format suivant : https://example.com.

un. Source du style

Dans le champ source Style , vous pouvez définir les sources valides des feuilles de style qui peuvent être appliquées à votre base de connaissances. Configurer les sources de style empêchera l’utilisation de styles malveillants pour exécuter des attaques de Cross-Site Scripting (XSS) sur votre base de connaissances.

Tapez les URL de domaine des sources des feuilles de style dans ce champ.
Toutes les feuilles de style provenant des autres URL seront restreintes.

NOTE
Assurez-vous d’avoir ajouté un assigné d’attribut Nonce dans toutes les sections de scripts HTML personnalisés.
Exemple : <Script nonce='{{Document360-Nonce}}'>

b. Source du script

Dans le champ source Script , vous pouvez définir les sources valides de codes JavaScript qui peuvent être exécutées sur votre base de connaissances. Cela aide à empêcher l’exécution de code JavaScript malveillant, même s’il a été injecté dans la base de connaissances par un attaquant.

Tapez les URL de domaine des sources Javascript dans ce champ.
Tous les codes JavaScript provenant des autres URL seront restreints.

c. Source de trame

Dans le champ source Frame , vous pouvez définir les sources valides des éléments de trame comme <frame> et <iframe> qui peuvent être intégrés dans votre base de connaissances.

Tapez les URL de domaine des sources de trames dans ce champ.
Toutes les trames provenant des autres URL seront restreintes.

Tester les paramètres de votre politique de sécurité de contenu

Après avoir configuré votre CSP, il est important de vérifier que les réglages fonctionnent comme prévu. Pour vérifier si la politique de sécurité du contenu a été correctement appliquée :

Ouvrez l’onglet Réseau dans les outils de développement de votre navigateur.
Consultez votre base de connaissances et consultez les en-têtes de réponse du CSP.
Sinon, vous pouvez utiliser des outils en ligne comme securityheaders.com pour vérifier si votre site dispose des en-têtes Content-Security-Policy corrects.

FAQ

Pourquoi ma vidéo affiche-t-elle « Ce contenu est bloqué » dans un article mais pas dans un autre ?

Ce problème survient généralement en raison des paramètres de la politique de sécurité du contenu (CSP) dans Document360. La vidéo pourrait ne pas être autorisée par les paramètres actuels du CSP. Différents articles peuvent avoir des paramètres CSP différents. Assurez-vous que la source vidéo est autorisée dans les paramètres CSP pour tous les articles où la vidéo doit être affichée.

Comment puis-je résoudre le problème d’une vidéo bloquée dans mon article ?

Pour régler cela,

Passez la souris sur Paramètres () dans la barre de navigation de gauche du Knowledge base portal.
Dans le sous-menu, sélectionnez Site de la base de connaissances et allez jusqu’à Sécurité.
Dans la section Activer la politique de sécurité du contenu , ajoutez la source vidéo (par exemple, https://www.youtube.com/) à la liste « Source d’images » et cliquez sur Enregistrer.

Pourquoi ma validation CSP indique-t-elle que CSP est absent dans l’en-tête de réponse ?

Dans Document360, la politique de sécurité du contenu (CSP) est implémentée à l’aide de méta-éléments plutôt que de l’en-tête de la réponse. Si vous validez CSP en inspectant l’en-tête de la réponse, il apparaîtra comme s’il manquait ou était inactif.

Pour confirmer que CSP est activé sur votre site de base de connaissances, suivez ces étapes :

Ouvrez votre site de base de connaissances dans un navigateur.
Faites un clic droit n’importe où sur la page web et sélectionnez Voir la source de la page.
Le code source de la page apparaîtra.
Utilisez la fonction de recherche (Ctrl + F sur Windows ou Cmd + F sur Mac) et cherchez le terme « Content-Security-Policy ».
Si le terme « Content-Security-Policy » est trouvé, la configuration du CSP apparaîtra comme le code suivant ce terme.

En validant via l’élément méta dans la source de la page, vous pouvez confirmer que CSP est activé pour votre site de base de connaissances.

Puis-je autoriser certains domaines à intégrer ma base de connaissances ?

Oui, vous pouvez spécifier les domaines autorisés dans le paramètre de politique de sécurité de contenu Source de trame.

Puis-je ajouter un projet privé dans un iframe ?

Non, les projets privés ne peuvent pas être intégrés dans un iframe.

Les cookies d’authentification ne sont pas correctement configurés dans les iframes, ce qui entraîne des tentatives répétées de connexion et des erreurs de redirection. Pour des raisons de sécurité, les paramètres des cookies ne peuvent pas être assouplis.

Utilisez plutôt un widget de base de connaissances si vous devez intégrer la base de connaissances dans une autre application.