Skip to content

En-têtes de la politique de sécurité du contenu

La politique de sécurité du contenu fournit une sécurité supplémentaire en limitant la manière dont le contenu peut être chargé sur votre site Internet. Cet article de référence explique quels en-têtes de la politique de sécurité du contenu sont nécessaires avec le SDK Web.

Attributs Nonce

Si vous utilisez une valeur nonce dans votre script-src ou vos directives style-src, transmettez cette valeur à l’option d’initialisation contentSecurityNonce pour la propager aux scripts et styles nouvellement créés générés par le SDK :

1
2
3
4
5
6
import * as braze from "@braze/web-sdk";

braze.initialize(apiKey, {
  baseUrl: baseUrl,
  contentSecurityNonce: "YOUR-NONCE-HERE", // assumes a "nonce-YOUR-NONCE-HERE" CSP value
});

Directives

connexion-src

script-src

img-src

Font Awesome

Pour désactiver l’inclusion automatique de Font Awesome, utilisez l’option d’initialisation doNotLoadFontAwesome :

1
2
3
4
5
6
import * as braze from "@braze/web-sdk";

braze.initialize(apiKey, {
  baseUrl: baseUrl,
  doNotLoadFontAwesome: true,
});

Si vous choisissez d’utiliser Font Awesome, les directives CSP suivantes sont requises :

  • font-src https://use.fontawesome.com
  • style-src https://use.fontawesome.com
  • style-src 'nonce-...' ou style-src 'unsafe-inline'
CETTE PAGE A-T-ELLE ÉTÉ UTILE?
New Stuff!