CSP e diretrizes de lista branca para widget Document360

Planos compatíveis com este recurso: Business Enterprise

Política de Segurança de Conteúdo (CSP) é um recurso de segurança que ajuda a prevenir ataques como o Cross-Site Scripting (XSS), permitindo que desenvolvedores especifiquem quais fontes de conteúdo são confiáveis e podem ser carregadas pelo navegador.

A lista branca em produtos de software envolve especificar uma lista de entidades aprovadas (por exemplo, endereços IP, domínios, endereços de e-mail) que podem acessar certos recursos ou realizar ações específicas, bloqueando assim quaisquer entidades que não estejam na lista para aumentar a segurança.

Adicionando fontes de conteúdo confiáveis para o widget Document360

Ao usar o widget Document360, certas fontes de conteúdo confiáveis precisam ser adicionadas ao seu CSP existente. Isso garante que o widget funcione corretamente e de forma segura.

Para usuários dos EUA

Adicione as seguintes fontes às suas connect-srcdiretivas , script-src-elem, font-src, e style-src-elem seguintes:

<!DOCTYPE html>
<html lang="en">
<head>
    <meta http-equiv="Content-Security-Policy" content="
    connect-src 
        https://2ql92r65q8-dsn.algolia.net/
        https://apihub.us.document360.io/
        https://api.us.document360.io/
        https://gateway.us.document360.io
        https://*.algolianet.com
        https://js.monitor.azure.com;
    script-src-elem 
        'nonce-document360Nonce'
        https://cdn.us.document360.io
        https://*.algolianet.com
        https://cdn.jsdelivr.net
        https://cdnjs.cloudflare.com
        https://floik.com/exe/
        *.floik.com;
    font-src 
        https://fonts.gstatic.com
        https://cdn.us.document360.io;
    style-src-elem 
        'unsafe-inline'
        'unsafe-eval'
        https://cdn.us.document360.io/
        https://cdn.jsdelivr.net
        https://fonts.googleapis.com;">
</head>
</html>

Substitua "document360Nonce" pela variável nonce já disponível no seu sistema.

Para usuários da UE

Adicione as seguintes fontes às suas connect-srcdiretivas , script-src-elem, font-src, e style-src-elem seguintes:

<!DOCTYPE html>
<html lang="en">
<head>
    <meta http-equiv="Content-Security-Policy" content="
    connect-src 
        https://jx9o5re9su-dsn.algolia.net
        https://apihub.document360.io/
        https://api.document360.io/
        https://gateway.document360.io
        https://*.algolianet.com
        https://js.monitor.azure.com;
    script-src-elem 
        'nonce-document360Nonce'
        https://cdn.document360.io
        https://*.algolianet.com
        https://cdn.jsdelivr.net
        https://cdnjs.cloudflare.com
        https://floik.com/exe/
        *.floik.com;
    font-src 
        https://fonts.gstatic.com
        https://cdn.document360.io;
    style-src-elem 
        'unsafe-inline'
        'unsafe-eval'
        https://cdn.document360.io/
        https://cdn.jsdelivr.net
        https://fonts.googleapis.com;">
</head>
</html>

Substitua "document360Nonce" pela variável nonce já disponível no seu sistema.

NOTA
A URL do host Algolia no connect-src é específica do ambiente. Se você não tiver certeza do host exato para o seu ambiente, use o coringa https://*.algolia.net na sua diretiva connect-src. Isso cobre todos os ambientes Algolia e previne erros CSP causados por nomes hosts incompatíveis.

Atualizando a configuração do seu widget

No seu portal de base de conhecimento:

Vá até Widget () na barra lateral de navegação à esquerda.
Selecione o widget necessário e clique em Editar ().
Na aba Configurar e conectar , expanda o acordeão JavaScript do Widget no grupo Conexão .

Para clientes dos EUA

Atualize seu código da seguinte forma, substituindo "document360Nonce" pela variável nonce já disponível no seu sistema:

<!-- Document360 knowledge base assistant start -->
    <script nonce="document360Nonce">
        (function (w,d,s,o,f,js,fjs) {
            w['JS-Widget']=o;w[o] = w[o] || function () { (w[o].q = w[o].q || []).push(arguments) };
            js = d.createElement(s), fjs = d.getElementsByTagName(s)[0];
            js.id = o; js.src = f; js.async = 1; fjs.parentNode.insertBefore(js, fjs);
        }(panel, document, 'script', 'mw', './widget.js'));
        mw('init', { nonce:'document360Nonce',apiKey: 'klhgeGoqB8wlUwq2hraJ1zbOCq/V+wBiyGQNhXEKQ6MO7V1AhLuakiEimM6ims92AR7Bqt/eOaAz3SgInMvZTkZrt3F7QaEmWtX7DDDTtIJTruZdyIv+bDBTKVuPx4BsVUavm68/y4HV7h0ahKmDgQ==' });
        //var jQuery_2_2_4 = $.noConflict(true);
    </script>
  <!-- Document360 knowledge base assistant end -->

Para clientes da UE

Atualize seu código da seguinte forma, substituindo "document360Nonce" pela variável nonce já disponível no seu sistema:

    <!-- Document360 knowledge base assistant start -->
    <script nonce="document360Nonce">
        (function (w,d,s,o,f,js,fjs) {
            w['JS-Widget']=o;w[o] = w[o] || function () { (w[o].q = w[o].q || []).push(arguments) };
            js = d.createElement(s), fjs = d.getElementsByTagName(s)[0];
            js.id = o; js.src = f; js.async = 1; fjs.parentNode.insertBefore(js, fjs);
        }(panel, document, 'script', 'mw', './widget.js'));
        mw('init', { nonce:'document360Nonce',apiKey: 'klhgeGoqB8wlUwq2hraJ1zbOCq/V+wBiyGQNhXEKQ6MO7V1AhLuakiEimM6ims92AR7Bqt/eOaAz3SgInMvZTkZrt3F7QaEmWtX7DDDTtIJTruZdyIv+bDBTKVuPx4BsVUavm68/y4HV7h0ahKmDgQ==' });
        //var jQuery_2_2_4 = $.noConflict(true);
    </script>
  <!-- Document360 knowledge base assistant end -->

Seguindo esses passos, você pode garantir que o widget Document360 opere de forma segura e eficiente no seu ambiente.

Solução de problemas

Não é possível visualizar certo conteúdo no site

Erro: Este conteúdo está bloqueado. Entre em contato com o proprietário do site para resolver esse problema

Você pode encontrar esse problema quando as configurações do CSP no portal da Base de Conhecimento bloqueiam o conteúdo solicitado. Normalmente isso acontece devido a restrições nas URLs da fonte de arquivos ou configurações incorretas do CSP.

Passos para resolver:

Atualize a Política de Segurança de Conteúdo:
a. Navegue até Configurações () na barra de navegação à esquerda do Portal da base de conhecimento.
b. No painel de navegação à esquerda, navegue até Usuários & segurança > Segurança.
c. Na seção Política de Segurança de Conteúdo , adicione a URL do domínio afetada ao campo Fonte para colocar na lista branca as URLs de fonte de arquivos necessárias.
Se você não desejar ativar esse recurso, desative a opção Política de Segurança de Conteúdo .
Limpe o cache do seu navegador: Após fazer as alterações, limpe o cache do navegador e visite o site novamente para verificar se o problema foi resolvido. Pode levar alguns momentos para as configurações atualizadas entrarem em efeito.
Teste o artigo em diferentes ambientes:
a. Abra o artigo em um painel anônimo.
b. Teste em diferentes navegadores para confirmar se o problema está resolvido.
Revise as configurações do widget da teclatura: Certifique-se de que as configurações do CSP da aplicação estejam corretamente configuradas para evitar erros no widget da Base de Conhecimento.
Se o problema persistir após seguir essas etapas, entre em contato com a equipe de suporte do Document360 para obter mais assistência: Entre em contato com o suporte do Document360
Forneça os seguintes detalhes:
a. Para verificar se o CSP foi aplicado corretamente, abra a aba Rede nas ferramentas de Desenvolvedor do seu navegador.
b. Compartilhe os detalhes dos cabeçalhos de resposta para confirmar a presença e configuração do CSP.

FAQ

Por que a barra de rolagem não aparece no widget da Base de Conhecimento?

O problema pode estar relacionado às regras do CSP da sua aplicação. Se seu domínio não estiver na lista branca do seu CSP, isso pode impedir que a funcionalidade de rolagem funcione corretamente. Para resolver esse problema, adicione a URL do domínio ao CSP da sua aplicação.