Исключения для Content Security Policy

Продвинутый
Скачать
Данный материал предназначен для продвинутых пользователей. Если у вас есть вопросы по применению, обратитесь в Техническую поддержку BPMSoft.

Симптомы

При активации Content Security Policy в BPMSoft могут возникнуть проблемы:

Причина

Content Security Policy (CSP) по умолчанию блокирует все внешние ресурсы и соединения, не указанные в разрешающих директивах политики.

Решение

Создать исключение при включении CSP в конфигурационном файле.

Использование исключений повышает доверие к внешним сервисам, что потенциально ослабляет защиту системы. Необходимо оценить возможные последствия перед добавлением исключений.

Подключение к стороннему API-серверу

Директива connect-src определяет к каким хостам разрешено устанавливать соединения. Для подключения к стороннему API-сервису необходимо добавить доверенный источник для разрешения соединений в директиву connect-src: 

connect-src 'self' https://api.example.com;

Здесь разрешены:

  • 'self' — запросы к собственному домену;
  • https://api.example.com — запросы к указанному API.

Если API использует различные поддомены (например, `api1.example.com`, `api2.example.com`), используйте разрешение для поддоменов: 

connect-src 'self' https://*.example.com;

Загрузка изображений

Директива img-src контролирует источники для <img>, фоновых изображений CSS и т. п. Для загрузки изображений необходимо добавить доверенный источник для изображений в директиву img-src: 

img-src 'self' https://cdn.example.com;

Загрузка шрифтов

Директива font-src задает разрешенные источники для @font-face. Для загрузки шрифтов необходимо добавить доверенный источник для шрифтов в директиву font-src: 

font-src 'self' https://fonts.gstatic.com;

Загрузка frame

Директива frame-ancestors определяет, какие сайты могут встраивать текущую страницу в фрейм. Для загрузки frame необходимо добавить доверенный источник для frame в директиву frame-ancestors: 

frame-ancestors 'self' https://trusted.com;
Примечание. К frame также относится дашборд «Веб-страница».

Загрузка медиаресурсов

Директива media-src разрешает источники для <audio>, <video> и т. п. Для загрузки медиа ресурсов необходимо добавить доверенный источник для медиаресурсов в директиву media-src: 

media-src 'self' https://media.example.com;

Загрузка data

Директива media-src 'self' data; разрешает использование inline‑данных (base64‑кодированных ресурсов) в медиа‑элементах. Для загрузки inline‑данных необходимо добавить data: в нужный блок (пример с media-src). 

media-src 'self' data:;

Загрузка скриптов при переключении на режим с поддержкой флагов CSP

При активации CSP могут возникнуть конфликты из‑за закэшированных скриптов. Пошаговое решение:

  1. Выполните очистку кэша командой flushall в сервере кэширования.
  2. Откройте режим разработчика (F12) в браузере;
  3. Перейдите на вкладку Application → Cookies и удалите все куки для домена BPMSoft.
  4. Нажмите правой кнопкой по кнопке обновления страницы → выберите «ipty cache and hard reload».

Рекомендуем изучить

Активация Content Security Policy

Исключения для Content Security Policy
Материал был полезен для вас?
Спасибо за оценку!
Вебинар: 22 апреля в 11:00
Приглашаем вас на вебинар «BPMSoft – от выбора к реальным процессам», где покажем, как компании на практике сокращают time-to-market и масштабируют бизнес с помощью решений BPMSoft.
Регистрация на мероприятие
Готовы сделать выбор CRM?
Оставьте заявку, и наши эксперты бесплатно проконсультируют вас, подберут подходящую конфигурацию и рассчитают стоимость проекта.
Готовы сделать выбор CRM? (детальная)
Оставьте заявку, и наши эксперты бесплатно проконсультируют вас, подберут подходящую конфигурацию и рассчитают стоимость проекта.
Готовы сделать выбор CRM?
Оставьте заявку, и наши эксперты бесплатно проконсультируют вас, подберут подходящую конфигурацию и рассчитают стоимость проекта.
Готовы сделать выбор CRM? (детальная)
Оставьте заявку, и наши эксперты бесплатно проконсультируют вас, подберут подходящую конфигурацию и рассчитают стоимость проекта.
Оставить заявку
Оставьте свои контакты и наш менеджер свяжется с Вами в ближайшее время.
Демонстрационная версия BPMSoft
Заполните заявку для получения бесплатного доступа к демонстрационному стенду на 14 дней.
Продукт*
Выберите из списка
Типовое внедрение
Внедрите BPMSoft CRM в свою компанию всего за 8 рабочих дней по фиксированной цене! Заполните заявку для уточнения условий.
Заказать презентацию
Наш менеджер свяжется с Вами в ближайшее время.
Рассчитать стоимость
Задать вопрос
Карта сценариев использования ИИ для управления маркетингом, продажами и сервисом
Заполните форму и мы отправим исследование на E-mail
Присоединяйтесь к партнерской сети BPMSoft
Оставьте свои контакты и наш менеджер свяжется с Вами в ближайшее время
Тип партнерства*
Управление полным жизненным циклом клиента: от генерации лидов и продаж до внедрения, поддержки и продления подписки.
Разработка собственного Приложения – производного программного обеспечения, созданного на платформе BPMSoft (Базовое ПО).
Есть вопросы?
Не нашли для себя подходящую вакансию, или остались вопросы?
*
Есть вопросы?
Не нашли для себя подходящую вакансию, или остались вопросы?
*
Стать образовательным партнёром
Оставьте свои контакты и наш менеджер свяжется с Вами в ближайшее время.
Заявка на консультацию
Оставьте свои контакты и наш менеджер свяжется с Вами в ближайшее время.
Подписка
Спасибо!
Ваша заявка принята.
Наш сотрудник свяжется с вами в течение 1-2 рабочих дней.
Внимание!
Обнаружена ошибка.
Проверьте вашу почту
Для завершения подписки перейдите по ссылке в письме, которое мы только что отправили. Если письма нет во «Входящих», проверьте папку «Спам».
Telegram Подписаться
Уважаемые клиенты! Предупреждаем о случаях недобросовестной конкуренции и мошенничестве в сети Интернет.
Подробнее
Сайт использует файлы cookie. Подробная информация в правилах по обработке персональных данных. Вы можете запретить сохранение cookie в настройках своего браузера.