Artykuły w tej sekcji

Wykorzystanie iPresso z Content Security Policy

Avatar
iPresso Help Center
  • Zaktualizowano

Poniższy poradnik obowiązuje tylko w przypadku integracji iPresso z domenami, które aktualnie wykorzystują CSP.


W zależności od aktualnych ustawień CSP oraz zakresu wykorzystania iPresso, każda integracja z iPresso i zmiany w CSP za tym idące mogą się różnić. Dyrektywy mogą zawierać twoje sprecyzowane zasoby w iPresso, które mogą być dopuszczone w twojej domenie głównej aplikacji. Mogą to być wyłącznie elementy statyczne takie jak czcionki czy obrazy. Zakres wymaganych dozwolonych zasobów zazwyczaj jednak jest szerszy i obejmuje funkcjonalności, które wymagają zezwolenia na uruchamianie skryptów inline na potrzeby monitorowania stron czy wykonywania akcji na stronach.

W przypadku braku sprecyzowania wymagań co do dyrektyw CSP oraz zakresu funkcjonalności iPresso, rekomendowane jest, aby zastosować poniższe ustawienie, która daje pełny zakres możliwości wykorzystania iPresso.

Dla korzystania z pełni funkcjonalności iPresso na stronach bez CSP, nagłówek Content-Security-Policy musi zawierać w swoich dyrektywach twoją domenę “frontową”, czyli np. media-{IPRESSO-DOMAIN}.ipresso.pl oraz domenę perun.ipresso.pl, która niezbędna jest dla poprawnego działania m.in. akcji na stronach.

Poprawna konfiguracja domyślna, która powinna zostać dodana do domeny z którą integrujesz iPresso:

Content-Security-Policy: default-src ‘unsafe-inline’ media-{IPRESSO-DOMAIN}.ipresso.pl perun.ipresso.pl

Powyższa konfiguracja nagłówka CSP musi zostać dodana dla każdej domeny w obrębie której będzie integrowane iPresso.

Jeśli zdecydujesz, że musisz uściślić powyższą politykę poprzez dodanie kolejnych dyrektywy np. ze względu na inną integrację to domena frontowa oraz domena perun.ipresso.pl muszą być dodane do każdej nowej dyrektywy określonej w polityce CSP.

W przypadku istniejącej polityki CSP domena frontowa, czyli przeważnie: media-{IPRESSO-DOMAIN}.ipresso.pl oraz domena perun.ipresso.pl powinny zostać dodane do wszystkich aktualnych dyrektyw Content-Security-Policy.

Jeśli w przyszłości będziesz uściślać zasady CSP poprzez kolejne dyrektywy zasada jest taka sama - należy dodawać powyższe domeny do tych dyrektyw. 

Powiązane artykuły

Komentarze

Komentarze: 0

Komentarze do artykułu są zablokowane.