Descargo de responsabilidad: Este artículo se generó mediante traducción automática.

Política de seguridad de contenido

  • Actualizado en Dec 6, 2024
  • 4 minuto(s) leído(s)
  • Pradeep Srinivasan
  • Manoharan Soundarraj
 Prev Next

Planes que respaldan la directiva de seguridad de contenido en el sitio de la base de conocimiento

Profesional
Negocio
Empresa






La política de seguridad de contenido (CSP) es una característica relacionada con la seguridad que ayuda a administrar y evitar el CSS, los scripts y los marcos externos incrustados en la base de conocimientos. Cuando la política de seguridad de contenido está habilitada en el proyecto, el encabezado de Content-Security-Policy respuesta se agregará al encabezado de solicitud con los dominios permitidos predeterminados para cada fuente. Restringe la carga de recursos de dominios externos y permite recursos solo de la lista configurada de dominios para cada origen.

Habilitación de la directiva de seguridad de contenido

image.png

  1. Vaya a Configuración () > Usuarios y seguridad > Seguridad en el portal de la base de conocimientos.

  2. Active la opción Habilitar directiva de seguridad de contenido .

  3. Puede encontrar los siguientes campos de origen:
    a. Fuente de estilo
    b. Fuente del script
    c. Fuente de la trama.

  4. Escriba las URL de dominio deseadas en los campos respectivos.

  5. Haga clic en Guardar.

NOTA

  • El límite de caracteres para cada límite es de 5000.

  • Utilice comas (,) para separar las direcciones URL.

  • Mantenga las URL en el siguiente formato: https://example.com.

un. Origen del estilo

En el campo Origen de estilo , puede definir los orígenes válidos de hojas de estilo que se pueden aplicar a la base de conocimiento. La configuración de las fuentes de estilo evitará que se utilicen estilos malintencionados para ejecutar ataques de secuencias de comandos entre sitios (XSS) en la base de conocimientos.

  • Escriba las URL de dominio de las fuentes de hojas de estilo en este campo.

  • Se restringirán todas las hojas de estilo de otras URL.

NOTA

Asegúrese de haber agregado un marcador de posición de atributo Nonce en todas las secciones de script HTML personalizadas.

Ejemplo: <Script nonce='{{Document360-Nonce}}'>

b. Origen del script

En el campo Origen de script, puede definir los orígenes válidos de códigos JavaScript que se pueden ejecutar en la base de conocimiento. Esto ayuda a evitar que se ejecute código JavaScript malintencionado, incluso si un atacante lo ha inyectado en la base de conocimiento.

  • Escriba las URL de dominio de las fuentes de Javascript en este campo.

  • Se restringirán todos los códigos JavaScript de otras URL.

c. Origen de la trama

En el campo Origen del marco , puede definir los orígenes válidos de elementos de marco como <frame> y <iframe> que se pueden incrustar en su base de conocimiento.

  • Escriba las direcciones URL de dominio de las fuentes de marcos en este campo.

  • Se restringirán todos los marcos de otras URL.

Probar la configuración de la política de seguridad de contenido

Después de configurar el CSP, es importante comprobar que la configuración funciona según lo previsto. Para comprobar si la política de seguridad de contenido se ha aplicado correctamente:

  1. Abra la pestaña Red en las herramientas de desarrollo de su navegador.

  2. Visite la base de conocimientos y revise los encabezados de respuesta para el CSP.

  3. Alternativamente, puede usar herramientas en línea como securityheaders.com para verificar si su sitio web tiene los encabezados correctos de la política de seguridad de contenido establecidos.

Preguntas frecuentes

¿Por qué mi video se muestra como "Este contenido está bloqueado" en un artículo pero no en otro?

Este problema suele producirse debido a la configuración de la política de seguridad de contenido (CSP) de Document360. Es posible que el vídeo no esté permitido por la configuración actual de CSP. Es posible que los diferentes artículos tengan diferentes configuraciones de CSP. Asegúrese de que el origen de vídeo esté permitido en la configuración de CSP para todos los artículos en los que se deba mostrar el vídeo.

¿Cómo puedo resolver el problema de un video bloqueado en mi artículo?

Para solucionar esto, vaya a Configuración > Usuarios y seguridad > Seguridad. En la sección Habilitar política de seguridad de contenido , agregue la fuente de video (por ejemplo, https://www.youtube.com/) a la lista "Fuente de fotogramas" y haga clic en Guardar.

¿Por qué mi validación de CSP indica que falta CSP en el encabezado de respuesta?

En Document360, la política de seguridad de contenido (CSP) se implementa mediante metaelementos en lugar del encabezado de respuesta. Si valida CSP inspeccionando el encabezado de respuesta, aparecerá como si CSP faltara o estuviera deshabilitado.

Para confirmar que CSP está habilitado en el sitio de la base de conocimientos, siga estos pasos:

  1. Abra el sitio de la base de conocimientos en un navegador.

  2. Haga clic con el botón derecho en cualquier parte de la página web y seleccione Ver código fuente de la página.

    Aparecerá el código fuente de la página.

  3. Utilice la función de búsqueda (Ctrl + F en Windows o Cmd + F en Mac) y busque el término "Content-Security-Policy".

  4. Si se encuentra el término "Content-Security-Policy", la configuración del CSP aparecerá como el código que sigue a este término.

Al validar a través del elemento meta en la fuente de página, puede confirmar que CSP está habilitado para el sitio de la base de conocimiento.

Artículos relacionados