Isenção de responsabilidade: Este artigo foi gerado usando tradução automática.

Política de segurança de conteúdo

  • Atualizado em Dec 6, 2024
  • 3 minuto(s) lido(s)
  • Pradeep Srinivasan
  • Manoharan Soundarraj
 Prev Next

Planos que dão suporte à política de segurança de conteúdo no site da base de dados de conhecimento

Profissional
Negócio
Empresa






A Política de Segurança de Conteúdo (CSP) é um recurso relacionado à segurança que ajuda a gerenciar e impedir o CSS, scripts e quadros externos incorporados em sua base de conhecimento. Quando a política de segurança de conteúdo estiver habilitada no projeto, o cabeçalho de Content-Security-Policy resposta será adicionado ao cabeçalho da solicitação com os domínios padrão permitidos para cada fonte. Ele restringe o carregamento de recursos de domínios externos e permite recursos somente da lista configurada de domínios para cada origem.

Ativar a política de segurança de conteúdo

image.png

  1. Navegue até Configurações () > Usuários e Segurança > Segurança no portal da base de conhecimento.

  2. Ative a opção Ativar política de segurança de conteúdo .

  3. Você pode encontrar os seguintes campos de origem:
    a. Fonte do estilo
    b. Fonte do script
    c. Fonte do quadro.

  4. Digite os URLs de domínio desejados nos respectivos campos.

  5. Clique em Salvar.

NOTA

  • O limite de caracteres para cada limite é 5000.

  • Use vírgulas (,) para separar os URLs.

  • Mantenha os URLs no seguinte formato: https://example.com.

um. Fonte do estilo

No campo Origem do estilo , você pode definir as fontes válidas de folhas de estilo que podem ser aplicadas à sua base de conhecimento. A configuração das fontes de estilo impedirá que estilos mal-intencionados sejam usados para executar ataques de Cross-Site Scripting (XSS) em sua base de conhecimento.

  • Digite as URLs de domínio das fontes de folha de estilo neste campo.

  • Todas as folhas de estilo de outros URLs serão restritas.

NOTA

Certifique-se de ter adicionado o espaço reservado do atributo Nonce em todas as seções de script HTML personalizado.

Exemplo: <Script nonce='{{Document360-Nonce}}'>

b. Fonte do script

No campo Origem do script , você pode definir as fontes válidas de códigos JavaScript que podem ser executadas em sua base de conhecimento. Isso ajuda a impedir que o código JavaScript mal-intencionado seja executado, mesmo que tenha sido injetado na base de dados de conhecimento por um invasor.

  • Digite os URLs de domínio das fontes Javascript neste campo.

  • Todos os códigos JavaScript de outros URLs serão restritos.

c. Fonte do quadro

No campo Origem do quadro , você pode definir as fontes válidas de elementos de quadro como <frame> e <iframe> que podem ser incorporadas à sua base de conhecimento.

  • Digite os URLs de domínio das fontes de quadro neste campo.

  • Todos os quadros de outros URLs serão restritos.

Testando as configurações da política de segurança de conteúdo

Depois de configurar seu CSP, é importante verificar se as configurações estão funcionando conforme o esperado. Para verificar se a política de segurança de conteúdo foi aplicada corretamente:

  1. Abra a guia Rede nas ferramentas de desenvolvedor do seu navegador.

  2. Visite sua base de dados de conhecimento e examine os cabeçalhos de resposta do CSP.

  3. Como alternativa, você pode usar ferramentas online como o securityheaders.com para verificar se o seu site tem os cabeçalhos Content-Security-Policy corretos definidos.

Perguntas frequentes

Por que meu vídeo está sendo exibido como "Este conteúdo está bloqueado" em um artigo, mas não em outro?

Esse problema geralmente ocorre devido às configurações da Política de Segurança de Conteúdo (CSP) no Document360. O vídeo pode não ser permitido pelas configurações atuais do CSP. Artigos diferentes podem ter configurações de CSP diferentes. Verifique se a fonte de vídeo é permitida nas configurações do CSP para todos os artigos em que o vídeo precisa ser exibido.

Como posso resolver o problema de um vídeo bloqueado no meu artigo?

Para corrigir isso, navegue até Configurações > Usuários e segurança > Segurança. Na seção Ativar política de segurança de conteúdo , adicione a fonte de vídeo (por exemplo, https://www.youtube.com/) à lista "Origem do quadro" e clique em Salvar.

Por que minha validação de CSP indica que o CSP está ausente no cabeçalho de resposta?

No Document360, a Política de Segurança de Conteúdo (CSP) é implementada usando metaelementos em vez do cabeçalho de resposta. Se você validar o CSP inspecionando o cabeçalho de resposta, ele aparecerá como se o CSP estivesse ausente ou desabilitado.

Para confirmar se o CSP está habilitado no site da base de conhecimento, siga estas etapas:

  1. Abra o site da base de conhecimento em um navegador.

  2. Clique com o botão direito do mouse em qualquer lugar da página da Web e selecione Exibir código-fonte da página.

    O código-fonte da página será exibido.

  3. Use a função de pesquisa (Ctrl + F no Windows ou Cmd + F no Mac) e procure o termo "Content-Security-Policy".

  4. Se o termo "Content-Security-Policy" for encontrado, a configuração do CSP aparecerá como o código após esse termo.

Ao validar por meio do elemento meta na origem da página, você pode confirmar se o CSP está habilitado para seu site da base de conhecimento.

Artigos relacionados