En-têtes de la politique de sécurité du contenu
La politique de sécurité du contenu fournit une sécurité supplémentaire en limitant la manière dont le contenu peut être chargé sur votre site Internet. Cet article de référence explique quels en-têtes de la politique de sécurité du contenu sont nécessaires avec le SDK Web.
Cet article est destiné aux développeurs travaillant sur des sites Web qui appliquent des règles CSP et s’intègrent à Braze. Il n’est pas destiné à donner des conseils sur la manière dont vous devez aborder la sécurité.
This guide uses code samples from the Braze Web SDK 4.0.0+. To upgrade to the latest Web SDK version, see SDK Upgrade Guide.
Attributs Nonce
Si vous utilisez une valeur nonce
dans votre script-src
ou vos directives style-src
, transmettez cette valeur à l’option d’initialisation contentSecurityNonce
pour la propager aux scripts et styles nouvellement créés générés par le SDK :
1
2
3
4
5
6
import * as braze from "@braze/web-sdk";
braze.initialize(apiKey, {
baseUrl: baseUrl,
contentSecurityNonce: "YOUR-NONCE-HERE", // assumes a "nonce-YOUR-NONCE-HERE" CSP value
});
Directives
connexion-src
URL | Information |
---|---|
connect-src https://sdk.iad-01.braze.com |
Permet au SDK de communiquer avec les API de Braze. Modifiez cette URL pour qu’elle corresponde au point d’endpoint du SDK API pour l’option d’initialisation baseUrl que vous avez choisie. |
script-src
URL | Information |
---|---|
script-src https://js.appboycdn.com |
Requis lors de l’utilisation de l’intégration hébergée par le réseau diffusion de contenu. |
script-src 'unsafe-eval' |
Requis lors de l’utilisation de l’extrait de code d’intégration qui contient une référence à appboyQueue . Pour éviter d’utiliser cette directive, intégrez le SDK à l’aide de NPM. |
script-src 'nonce-...' ou script-src 'unsafe-inline' |
Requis pour certains messages in-app, tels que le HTML personnalisé. |
img-src
URL | Information |
---|---|
img-src: appboy-images.com braze-images.com cdn.braze.eu |
Requis lors de l’utilisation d’images hébergées par le réseau de diffusion de Braze. Les noms d’hôte peuvent varier en fonction du tableau de bord. Important : Si vous utilisez des polices personnalisées, vous devez également inclure font-src . |
Font Awesome
Pour désactiver l’inclusion automatique de Font Awesome, utilisez l’option d’initialisation doNotLoadFontAwesome
:
1
2
3
4
5
6
import * as braze from "@braze/web-sdk";
braze.initialize(apiKey, {
baseUrl: baseUrl,
doNotLoadFontAwesome: true,
});
Si vous choisissez d’utiliser Font Awesome, les directives CSP suivantes sont requises :
font-src https://use.fontawesome.com
style-src https://use.fontawesome.com
style-src 'nonce-...'
oustyle-src 'unsafe-inline'