Politiques de Sécurité de Contenu
Les Politiques de Sécurité de Contenu (CSP) sont envoyées sous forme d'en-tête au navigateur de vos utilisateurs par votre serveur web. Elles sont utilisées pour déclarer quelles ressources dynamiques sont autorisées à se charger sur votre page.
Pour de nombreux sites web, cela implique souvent de déclarer que seuls les scripts et les styles de votre propre domaine et ceux de tous les outils que vous utilisez sont autorisés. Cependant, cela peut devenir plus problématique lorsque des configurations plus complexes sont en jeu.
Si vous identifiez des erreurs CSP sur votre site similaires à celles montrées ci-dessous, alors votre équipe de développement ou votre fournisseur d'hébergement devra ajuster vos paramètres CSP.
Ajuster vos paramètres CSP
1. Vérifier s'il y a des erreurs CSP.
Si vous rencontrez des problèmes avec les statistiques et les consentements dans le back-office d'Axeptio, cela peut parfois être causé par une erreur CSP. Vous pouvez vérifier ces erreurs dans la console de développement de votre navigateur. Vous pouvez apprendre comment ouvrir la console en suivant les étapes dans ce guide.
S'il y a un problème de Politique de Sécurité de Contenu, vous verrez une erreur similaire à celle ci-dessous :
2. Consultez votre développeur web ou votre fournisseur d'hébergement pour ajuster les paramètres CSP.
Comme tous les serveurs sont différents, l'équipe de support d'Axeptio ne sera pas en mesure d'aider à résoudre ces problèmes au-delà de l'identification d'une erreur CSP. Lors de la modification de vos Politiques de Sécurité de Contenu, la meilleure personne à contacter est votre développeur web, ou celui qui gère votre site web.
3. Choisir quels paramètres CSP ajuster.
Si vous utilisez une CSP par défaut, alors l'ajout de ce qui suit à vos règles de default-src sera suffisant.
Les "..." dans les exemples ci-dessous sont des espaces réservés pour toutes les règles existantes que vous pourriez avoir en place :
default-src ... https://.axept.io https://.axeptio.eu https://axeptio.imgix.net https://*.gstatic.com 'unsafe-inline'
Si vous voulez des restrictions plus strictes, nous recommandons le modèle ci-dessous pour assurer que vos politiques seront plus résistantes à l'avenir alors que nous étendons nos services. Voici un exemple de ce à quoi cela pourrait ressembler :
default-src … 'unsafe-inline'
script-src … https://*.axept.io 'unsafe-inline'
connect-src … https://*.axept.io https://*.axeptio.eu
img-src … https://axeptio.imgix.net https://*.axept.io https://*.gstatic.com
Si vos CSP nécessitent plus de granularité, alors voici les autorisations de sécurité minimales absolues que vous devez ajouter à votre serveur web pour permettre à Axeptio de fonctionner correctement sur votre site :
script-src … https://static.axept.io 'unsafe-inline'
connect-src … https://client.axept.io https://api.axept.io https://*.axeptio.eu
img-src … https://axeptio.imgix.net https://favicons.axept.io https://*.gstatic.com