Wykorzystanie iPresso z Content Security Policy

Poniższy poradnik obowiązuje tylko w przypadku integracji iPresso z domenami, które aktualnie wykorzystują CSP.

Content Security Policy

W zależności od aktualnych ustawień CSP oraz zakresu wykorzystania iPresso, każda integracja z iPresso i zmiany w CSP za tym idące mogą się różnić. Dyrektywy mogą zawierać twoje sprecyzowane zasoby w iPresso, które mogą być dopuszczone w twojej domenie głównej aplikacji. Mogą to być wyłącznie elementy statyczne takie jak czcionki czy obrazy. Zakres wymaganych dozwolonych zasobów zazwyczaj jednak jest szerszy i obejmuje funkcjonalności, które wymagają zezwolenia na uruchamianie skryptów inline na potrzeby monitorowania stron czy wykonywania akcji na stronach.

W przypadku braku sprecyzowania wymagań, co do dyrektyw CSP oraz zakresu funkcjonalności iPresso, rekomendowane jest, aby zastosować poniższe ustawienie, które daje pełny zakres możliwości wykorzystania iPresso.

Dla korzystania z pełni funkcjonalności iPresso na stronach bez CSP, nagłówek Content-Security-Policy musi zawierać w swoich dyrektywach twoją domenę “frontową”, czyli np. media-{IPRESSO-DOMAIN}.ipresso.pl oraz domenę perun.ipresso.pl, która niezbędna jest dla poprawnego działania m.in. akcji na stronach.

Poprawna konfiguracja domyślna, która powinna zostać dodana do domeny, z którą integrujesz iPresso:

Content-Security-Policy: default-src ‘unsafe-inline’ media-{IPRESSO-DOMAIN}.ipresso.pl
 perun.ipresso.pl

Powyższa konfiguracja nagłówka CSP musi zostać dodana dla każdej domeny w obrębie której będzie integrowane iPresso.

Jeśli zdecydujesz, że musisz uściślić powyższą politykę poprzez dodanie kolejnej dyrektywy np. ze względu na inną integrację to domena frontowa oraz domena perun.ipresso.pl muszą być dodane do każdej nowej dyrektywy określonej w polityce CSP.

W przypadku istniejącej polityki CSP domena frontowa, czyli przeważnie: media-{IPRESSO-DOMAIN}.ipresso.pl oraz domena perun.ipresso.pl powinny zostać dodane do wszystkich aktualnych dyrektyw Content-Security-Policy.

Jeśli w przyszłości będziesz uściślać zasady CSP poprzez kolejne dyrektywy zasada jest taka sama - należy dodawać powyższe domeny do tych dyrektyw.