Clause de non-responsabilité: Cet article a été généré par traduction automatique.

Politique de sécurité du contenu

  • Mis à jour le Dec 6, 2024
  • 4 Minute(s) lue(s)
  • Pradeep Srinivasan
  • Manoharan Soundarraj
 Prev Next

Plans prenant en charge la politique de sécurité du contenu dans le site de la base de connaissances

Professional
Business
Enterprise






La stratégie de sécurité du contenu (CSP) est une fonctionnalité liée à la sécurité qui permet de gérer et d’empêcher les CSS, les scripts et les cadres externes intégrés dans votre base de connaissances. Lorsque la stratégie de sécurité du contenu est activée dans le projet, l’en-tête de Content-Security-Policy réponse est ajouté à l’en-tête de la demande avec les domaines autorisés par défaut pour chaque source. Il limite le chargement des ressources à partir de domaines externes et n’autorise les ressources qu’à partir de la liste configurée de domaines pour chaque source.

Activer la politique de sécurité du contenu

image.png

  1. Accédez à Paramètres () > Utilisateurs et sécurité > Sécurité dans le portail de la base de connaissances.

  2. Activez l’option Activer la stratégie de sécurité du contenu .

  3. Vous pouvez trouver les champs sources suivants :
    a. Source du style
    b. Source du script
    c. Source du cadre.

  4. Saisissez les URL de domaine souhaitées dans les champs respectifs.

  5. Cliquez sur Enregistrer.

NOTE

  • La limite de caractères pour chaque limite est de 5000.

  • Utilisez des virgules (,) pour séparer les URL.

  • Conservez les URL au format suivant : https://example.com.

un. Source du style

Dans le champ Source du style , vous pouvez définir les sources valides des feuilles de style qui peuvent être appliquées à votre base de connaissances. La configuration des sources de style empêchera l’utilisation de styles malveillants pour exécuter des attaques XSS (Cross-Site Scripting) sur votre base de connaissances.

  • Tapez les URL de domaine des sources de feuille de style dans ce champ.

  • Toutes les feuilles de style des autres URL seront restreintes.

NOTE

Assurez-vous d’avoir ajouté l’espace réservé de l’attribut Nonce dans toutes les sections de script HTML personnalisées.

Exemple : <Script nonce='{{Document360-Nonce}}'>

b. Source du script

Dans le champ Source du script , vous pouvez définir les sources valides des codes JavaScript qui peuvent être exécutés sur votre base de connaissances. Cela permet d’empêcher l’exécution de code JavaScript malveillant, même s’il a été injecté dans la base de connaissances par un attaquant.

  • Tapez les URL de domaine des sources Javascript dans ce champ.

  • Tous les codes JavaScript des autres URL seront limités.

c. Source de trame

Dans le champ Source du cadre , vous pouvez définir les sources valides des éléments de cadre tels <frame> que et <iframe> qui peuvent être intégrés dans votre base de connaissances.

  • Saisissez les URL de domaine des sources de cadre dans ce champ.

  • Tous les cadres d’autres URL seront limités.

Test de vos paramètres de stratégie de sécurité du contenu

Après avoir configuré votre fournisseur de services cloud, il est important de vérifier que les paramètres fonctionnent comme prévu. Pour vérifier si la politique de sécurité du contenu a été correctement appliquée :

  1. Ouvrez l’onglet Réseau dans les outils de développement de votre navigateur.

  2. Consultez votre base de connaissances et passez en revue les en-têtes de réponse du CSP.

  3. Vous pouvez également utiliser des outils en ligne tels que securityheaders.com pour vérifier si votre site Web dispose des en-têtes Content-Security-Policy corrects.

Foire aux questions

Pourquoi ma vidéo s’affiche-t-elle comme « Ce contenu est bloqué » dans un article mais pas dans un autre ?

Ce problème se produit généralement en raison des paramètres de la politique de sécurité du contenu (CSP) dans Document360. Il se peut que la vidéo ne soit pas autorisée par les paramètres CSP actuels. Différents articles peuvent avoir des paramètres CSP différents. Assurez-vous que la source vidéo est autorisée dans les paramètres CSP pour tous les articles où la vidéo doit être affichée.

Comment puis-je résoudre le problème d’une vidéo bloquée dans mon article ?

Pour résoudre ce problème, accédez à Paramètres > Utilisateurs et sécurité > Sécurité. Dans la section Activer la politique de sécurité du contenu , ajoutez la source vidéo (par exemple, https://www.youtube.com/) à la liste « Source de l’image » et cliquez sur Enregistrer.

Pourquoi la validation de mon CSP indique-t-elle que le CSP est manquant dans l’en-tête de la réponse ?

Dans Document360, la politique de sécurité du contenu (CSP) est implémentée à l’aide d’éléments méta plutôt que de l’en-tête de réponse. Si vous validez CSP en inspectant l’en-tête de réponse, il apparaîtra que CSP est manquant ou désactivé.

Pour vérifier que CSP est activé sur votre site de base de connaissances, procédez comme suit :

  1. Ouvrez le site de votre base de connaissances dans un navigateur.

  2. Cliquez avec le bouton droit n’importe où sur la page Web et sélectionnez Afficher le code source de la page.

    Le code source de la page apparaîtra.

  3. Utilisez la fonction de recherche (Ctrl + F sous Windows ou Cmd + F sur Mac) et recherchez le terme « Content-Security-Policy ».

  4. Si le terme « Content-Security-Policy » est trouvé, la configuration CSP apparaîtra sous la forme du code suivant ce terme.

En validant via l’élément meta dans la source de la page, vous pouvez confirmer que CSP est activé pour votre site de base de connaissances.

Articles Liés