Política de segurança de conteúdo

Planos compatíveis com esse recurso: Enterprise

Política de Segurança de Conteúdo (CSP) é um recurso relacionado à segurança que ajuda a gerenciar e prevenir o CSS externo, scripts e frames embutidos na sua base de conhecimento. Quando a política de segurança de conteúdo é ativada no projeto, o Content-Security-Policy cabeçalho de resposta será adicionado ao cabeçalho da solicitação com os domínios permitidos padrão para cada fonte. Ela restringe o carregamento de recursos de domínios externos e permite recursos apenas da lista configurada de domínios para cada fonte.

Ativear a política de segurança de conteúdo

Settings page showing content security policy configuration options and related instructions.

Passe o mouse em Configurações () na barra de navegação esquerda do Portal da base de conhecimento.
No submenu, selecione Site da base de conhecimento e navegue até Segurança.
Ative a opção Ativar política de segurança de conteúdo .
Você pode encontrar os seguintes campos fonte:
a. Fonte do estilo
b. Fonte do roteiro
c. Fonte do quadro.
Digite as URLs de domínio desejadas nos respectivos campos.
Clique em Salvar.

NOTA
O limite de caracteres para cada limite é 5000.
Use vírgulas (,) para separar as URLs.
Mantenha as URLs no seguinte formato: https://example.com.

um. Fonte do estilo

No campo fonte de Estilo , você pode definir as fontes válidas das folhas de estilo que podem ser aplicadas à sua base de conhecimento. Configurar as fontes de estilo evitará que estilos maliciosos sejam usados para executar ataques de Cross-Site Scripting (XSS) na sua base de conhecimento.

Digite as URLs dos domínios das fontes da folha de estilo neste campo.
Todas as folhas de estilo de outras URLs serão restritas.

NOTA
Certifique-se de que você adicionou um marcador de atributo Nonce em todas as seções de scripts HTML personalizados.
Exemplo: <Script nonce='{{Document360-Nonce}}'>

b. Fonte do roteiro

No campo fonte Script , você pode definir as fontes válidas dos códigos JavaScript que podem ser executadas na sua base de conhecimento. Isso ajuda a evitar que código JavaScript malicioso seja executado, mesmo que tenha sido injetado na base de conhecimento por um atacante.

Digite as URLs dos domínios das fontes Javascript neste campo.
Todos os códigos JavaScript de outras URLs serão restringidos.

c. Fonte de quadro

No campo fonte de Frame , você pode definir as fontes válidas dos elementos de frame como <frame> e <iframe> que podem ser incorporados na sua base de conhecimento.

Digite as URLs de domínio das fontes de frames neste campo.
Todos os frames de outras URLs serão restritos.

Testando suas configurações de política de segurança de conteúdo

Depois de configurar seu CSP, é importante verificar se as configurações estão funcionando como esperado. Para verificar se a política de segurança de conteúdo foi aplicada corretamente:

Abra a aba de Rede nas ferramentas de desenvolvimento do seu navegador.
Visite sua base de conhecimento e revise os cabeçalhos de resposta do CSP.
Alternativamente, você pode usar ferramentas online como securityheaders.com para verificar se seu site tem os cabeçalhos corretos de Política de Segurança de Conteúdo configurados.

Perguntas frequentes

Por que meu vídeo aparece como "Este conteúdo está bloqueado" em um artigo, mas não em outro?

Esse problema normalmente ocorre devido às configurações de Política de Segurança de Conteúdo (CSP) no Document360. O vídeo pode não ser permitido pelas configurações atuais do CSP. Artigos diferentes podem ter configurações diferentes de CSP. Certifique-se de que a fonte do vídeo esteja permitida nas configurações do CSP para todos os artigos onde o vídeo precisa ser exibido.

Como posso resolver o problema de um vídeo bloqueado no meu artigo?

Para resolver isso,

Passe o mouse em Configurações () na barra de navegação esquerda do Portal da base de conhecimento.
No submenu, selecione Site da base de conhecimento e navegue até Segurança.
Na seção Ativar política de segurança de conteúdo , adicione a fonte do vídeo (por exemplo, https://www.youtube.com/) à lista "Fonte de quadros" e clique em Salvar.

Por que minha validação do CSP indica que o CSP está ausente no cabeçalho da resposta?

No Document360, a Política de Segurança de Conteúdo (CSP) é implementada usando metaelementos em vez do cabeçalho de resposta. Se você validar o CSP inspecionando o cabeçalho de resposta, ele parecerá que o CSP está faltando ou inativo.

Para confirmar que o CSP está ativado no seu site da base de conhecimento, siga estes passos:

Abra seu site da base de conhecimento em um navegador.
Clique com o botão direito em qualquer lugar da página e selecione Ver fonte da página.
O código-fonte da página será exibido.
Use a função de busca (Ctrl + F no Windows ou Cmd + F no Mac) e procure o termo "Política de Segurança de Conteúdo".
Se o termo "Política de Segurança de Conteúdo" for encontrado, a configuração do CSP aparecerá como o código após esse termo.

Validando através do elemento meta na fonte da página, você pode confirmar que o CSP está ativado para o seu site de base de conhecimento.

Posso permitir que domínios específicos incorporem minha Base de Conhecimento?

Sim, você pode especificar os domínios permitidos na configuração de política de segurança de conteúdo da fonte de Frame.

Posso adicionar um projeto privado dentro de um iframe?

Não, projetos privados não podem ser incorporados em um iframe.

Cookies de autenticação não são configurados corretamente dentro dos iframes, levando a tentativas repetidas de login e erros de redirecionamento. Por razões de segurança, as configurações de cookies não podem ser flexibilizadas.

Use um widget de base de conhecimento se precisar incorporar a base de conhecimento em outra aplicação.