La politique de sécurité du contenu (CSP) est un mécanisme de sécurité imposé par le navigateur qui contrôle quelles ressources externes — scripts, styles, images, polices et cadres — sont autorisées à se charger sur votre Knowledge base site. Lorsqu’elle est activée dans Document360, une directive CSP est intégrée dans la source de la page de votre site, limitant la charge des ressources uniquement aux domaines que vous configurez explicitement. Cela protège votre base de connaissances contre les vulnérabilités web courantes telles que le Cross-Site Scripting (XSS), le clickjacking et les attaques par injection de données.
Quand utiliser la politique de sécurité du contenu
Activez CSP lorsque l’une des conditions suivantes s’applique à votre base de connaissances :
- Votre site intègre du contenu tiers tel que des vidéos, des widgets de discussion ou des outils d’analyse.
- Vos articles ou thème incluent des sections HTML personnalisées avec des scripts en ligne.
Comment fonctionne le CSP dans Document360
Document360 implémente CSP via un <meta http-equiv="Content-Security-Policy"> tag intégré dans la source de la page de votre site, plutôt que via un en-tête de réponse HTTP.
Cela signifie :
- Toutes les règles CSP sont appliquées au niveau de la page via la balise méta.
- Si vous inspectez l’en-tête de réponse HTTP, le CSP apparaîtra absent — c’est un comportement attendu.
- Pour confirmer que CSP est actif, cliquez droit sur le site de votre Knowledge Base, sélectionnez Voir la source de la page, et recherchez
Content-Security-Policy.
Les en-têtes de réponse HTTP nécessitent une configuration côté serveur. Document360 utilise un méta-élément pour que vous puissiez configurer entièrement le CSP depuis l’interface des paramètres sans aucun changement d’infrastructure. La protection de sécurité est équivalente pour la grande majorité des directives, à l’exception de frame-ancestors, qui n’est prise en charge que via des en-têtes HTTP dans certains navigateurs. Document360 gère cela automatiquement.
Avant que tu commences
Seuls les propriétaires de projet, administrateurs ou utilisateurs ayant accès aux paramètres de sécurité peuvent configurer la Politique de Sécurité de Contenu.
Comment activer la politique de sécurité du contenu
- Naviguez dans Paramètres () > Knowledge base site > Security.
- Activez la fonction Activer la politique de sécurité du contenu.
- Configurez les groupes de directives requis :
- Politique de code
- Contrôle des ressources
- Intégration et sécurité
- Reportage
- Cliquez sur Enregistrer.

Lorsque CSP est activé, assurez-vous que le placeholder de l’attribut nonce est ajouté à toutes les sections de scripts HTML personnalisés. Exemple :
<script nonce="{{Document360-Nonce}}">
- La limite de caractères pour chaque champ est de 5000.
- Utilisez des virgules (,) pour séparer plusieurs domaines.
- Gardez les URL dans le format :
https://example.com - Les configurations CSP existantes restent conservées lors de l’activation et de l’activation du CSP.
Protection X-Frame
L’option de protection contre les X-Frames est disponible en même temps que les paramètres CSP sur la page Sécurité. Lorsqu’elle est activée, elle ajoute un X-Frame-Options: SAMEORIGIN en-tête de réponse à vos pages de la Base de connaissances, empêchant leur chargement à l’intérieur d’un iframe sur un domaine externe.
C’est un contrôle plus simple et plus direct que frame-ancestors — il ne permet pas d’autoriser des domaines de confiance spécifiques.
| Protection X-Frame | Ancêtres du cadre (CSP) |
|---|---|
| Bloque tous les cadrements extérieurs (SAMEORIGIN uniquement) | Permet de spécifier une liste de domaines de confiance |
| Livré via l’en-tête de réponse HTTP | Livré via l’élément méta dans la source de la page |
| Plus simple à configurer — un seul bouton | Plus flexible — contrôle précis par domaine |
| Aucune exception n’est permise | Les exceptions peuvent être explicitement listées |
X-Frame-Optionset laframe-ancestorsdirective CSP régissent toutes deux le comportement d’intégration de cadre. Si vous configurez les deux, assurez-vous qu’ils sont cohérents pour éviter les règles conflictuelles. Par exemple, n’activez pas la protection contre les trames X tout en ajoutant un domaine externe —frame-ancestorsl’en-tête des trames X supplantera la directive CSP dans les navigateurs qui prennent en charge les deux.- Document360 applique également l’en-tête
X-Content-Type-Options: nosniffde sécurité à travers les ressources de la Base de Connaissances afin d’empêcher les navigateurs de détecter et d’interpréter des fichiers de type MIME contenant des types de contenu incorrects.
Cas d’utilisation
Vidéos intégrées
Si vos articles incluent des vidéos de YouTube ou Vimeo, utilisez la directive source Frame pour n’autoriser que ces domaines de confiance.
- Ajouter à la source du cadre :
https://www.youtube.com,https://player.vimeo.com - Cela garantit que les médias intégrés se chargent correctement tout en bloquant le contenu iframe non autorisé.
Outils d’analyse et de retour d’information tiers
Si votre base de connaissances utilise Google Analytics, Mixpanel ou un widget de retours, ajoutez leurs domaines de script et de collecte de données au code source Script et au code source Connect.
- Exemple de source du script :
https://www.google-analytics.com,https://cdn.mixpanel.com - Exemple de connexion source :
https://api.mixpanel.com
Widgets de chat en direct
Les widgets de chat comme Intercom ou Zendesk nécessitent généralement des permissions sur plusieurs directives car ils chargent des scripts, passent des appels API et servent leur propre interface utilisateur.
- Source du script :
https://widget.intercom.io,https://js.intercomcdn.com - Source de connexion :
https://api.intercom.io,https://nexus-websocket-a.intercom.io - Source de l’image :
https://static.intercomassets.com
Polices personnalisées
Google Fonts et Adobe Typekit se chargent depuis deux domaines différents — l’un pour la feuille de style et l’autre pour les fichiers de polices eux-mêmes. Les deux doivent être inscrits.
- Source du style :
https://fonts.googleapis.com - Source de la police :
https://fonts.gstatic.com
Intégrer votre base de connaissances dans un portail client
Si vous devez afficher votre base de connaissances dans un iframe au sein de votre propre produit ou application SaaS, utilisez la directive Frame ancestors pour autoriser ce domaine spécifique.
- Exemple des ancêtres du cadre :
https://app.yourcompany.com - Définir les ancêtres du cadre pour
'none'bloquer tout le cadrage externe. Ne changez cela que si vous avez une exigence d’intégration légitime.
HTML personnalisé et scripts en ligne
Si vos articles ou votre thème incluent des sections HTML personnalisées avec des balises en ligne <script> , ces scripts seront bloqués par un CSP strict sauf s’ils portent un attribut nonce. Utilisez le lieu de placement Document360 nonce :
<script nonce="{{Document360-Nonce}}">
// Your custom inline script
</script>
Le {{Document360-Nonce}} Markholder est remplacé au moment du rendu par une valeur unique par requête qui correspond au nonce listé dans le CSP. Cela permet au script en ligne de confiance de s’exécuter sans avoir à affaiblir votre politique avec 'unsafe-inline'.
Environnements renforcés par la conformité et la sécurité
Les équipes opérant sous des cadres tels que SOC 2, ISO 27001 ou HIPAA nécessitent souvent une politique documentée de chargement des ressources. CSP fournit une version imposée par la machine de cette politique. Les directives de déclaration vous fournissent également une trace d’audit de toute tentative de violation des règles.
FAQ
Pourquoi mon outil de validation CSP indique-t-il que CSP manque dans l’en-tête de la réponse ?
Document360 implémente CSP via un métaélément dans la source de la page, et non via un en-tête de réponse HTTP. Les outils qui ne vérifient que les en-têtes de réponse signaleront donc CSP comme manquant. Pour confirmer que CSP est activé, faites un clic droit sur votre site de la Knowledge Base, sélectionnez Voir la source de la page, et recherchez « Content-Security-Policy ». Si le terme apparaît, le CSP est actif.
Puis-je autoriser certains domaines à intégrer ma base de connaissances ?
Oui. Utilisez la directive des ancêtres Frame dans le groupe Embedding & Security pour spécifier quels domaines externes sont autorisés à intégrer vos pages de base de connaissances dans leurs propres cadres.
Que se passe-t-il si je désactive CSP après l’avoir configuré auparavant ?
Désactiver le bouton de politique de sécurité de contenu supprime l’application du CSP sur votre site de base de connaissances. Cependant, vos configurations de directives enregistrées sont conservées et seront réappliquées si vous réactivez CSP. Aucune donnée de configuration n’est perdue lors de la désactivation de la fonctionnalité.