Ajouter cside a votre Content Security Policy (CSP)
Apprenez a configurer votre Content Security Policy pour fonctionner avec cside.
Quand les modifications CSP ne sont pas necessaires
Dans la plupart des cas, aucun ajustement CSP n’est necessaire pour que le script de surveillance cside fonctionne. Si votre Content Security Policy utilise des directives larges qui autorisent les sources HTTPS, cside fonctionnera sans modification.
Par exemple, si votre CSP ressemble a ceci :
Content-Security-Policy: default-src https: data: 'unsafe-inline' 'unsafe-eval'Le script cside se chargera sans probleme car il est servi via HTTPS depuis proxy.csidetm.com. Une CSP qui autorise les scripts de n’importe quelle origine HTTPS autorisera automatiquement cside.
Quand les modifications CSP sont necessaires
Vous devez mettre a jour votre CSP uniquement si vous avez des directives script-src ou connect-src explicites qui restreignent les domaines pouvant charger des scripts ou effectuer des requetes reseau.
Si votre CSP inclut des directives script-src ou connect-src specifiques, ajoutez proxy.csidetm.com a ces directives :
Content-Security-Policy: script-src 'self' proxy.csidetm.com; connect-src 'self' proxy.csidetm.comVous devez uniquement mettre a jour les directives que vous utilisez deja. Si vous n’avez pas de script-src ou connect-src dans votre CSP, aucune modification n’est necessaire pour ces directives.
Ajoutez ces elements a vos parametres CSP existants sans supprimer vos politiques actuelles. Dans le cadre de votre forfait cside, vous pouvez egalement diriger les violations CSP vers notre tableau de bord pour la surveillance.
Pour plus d’informations sur la configuration des rapports CSP, consultez Ajuster votre CSP.