Ajustando seu CSP
Você pode precisar ajustar as configurações da sua Content Security Policy (CSP) para permitir que o script do cside funcione corretamente.
Aprenda como configurar o relatório de Content Security Policy com o endpoint de relatórios do cside. Os relatórios de CSP estão disponíveis em todos os planos de assinatura do cside.
Limites do Serviço
| Plano | Período de Retenção | Capacidade de Eventos |
|---|---|---|
| Free | 30 dias | 500.000 eventos |
| Business | 90 dias | 2.000.000 eventos |
| Enterprise | 90 dias no painel, 365 dias em armazenamento frio | Eventos ilimitados |
Guia de Implementação
Etapa 1: Configurar os Headers CSP
A Content Security Policy usa diretivas para controlar o carregamento e execução de recursos. Para uma lista completa das diretivas disponíveis, consulte a Documentação do Mozilla Developer.
Modos de Implantação
O CSP suporta dois modos operacionais:
- Modo Report-Only: Monitora violações sem aplicação
- Modo Enforcement: Bloqueia ativamente violações da política
Melhor prática: Implemente o CSP através de headers de resposta HTTP em vez de meta tags HTML para maior segurança.
Recomendações de Implementação
- Comece com o modo Report-Only para avaliação de impacto
- Implemente as diretivas essenciais primeiro:
script-src: Controle as origens de JavaScriptimage-src: Gerencie as fontes de carregamento de imagensfont-src: Restrinja as fontes de carregamento de fontes tipográficas
- Use
script-src 'self'como medida de segurança básica
Nota: Ferramentas de configuração automática de CSP estarão disponíveis em breve.
Etapa 2: Configurar o Endpoint de Relatórios
Cada cliente do cside pode receber um endpoint personalizado. Navegue até a seção de relatórios CSP do painel do cside para visualizar o endpoint de relatórios CSP atribuído à sua conta.
Melhores Práticas e Considerações
Compatibilidade com o cside
Quando Alterações no CSP Não São Necessárias
Na maioria dos casos, nenhum ajuste no CSP é necessário para que o script de monitoramento do cside funcione. Se sua Content Security Policy usa diretivas amplas que permitem fontes HTTPS, o cside funcionará sem necessidade de configuração.
Por exemplo, se seu CSP se parece com isto:
Content-Security-Policy: default-src https: data: 'unsafe-inline' 'unsafe-eval'O script do cside carregará sem problemas porque é servido via HTTPS de proxy.csidetm.com. Um CSP que permite scripts de qualquer origem HTTPS permitirá automaticamente o cside.
Quando Alterações no CSP São Necessárias
Você só precisa atualizar seu CSP se tiver diretivas explícitas de script-src ou connect-src que restringem quais domínios podem carregar scripts ou fazer requisições de rede.
Se seu CSP inclui diretivas específicas de script-src ou connect-src, adicione proxy.csidetm.com a essas diretivas:
Content-Security-Policy: script-src 'self' proxy.csidetm.com; connect-src 'self' proxy.csidetm.comVocê só precisa atualizar diretivas que já usa. Se você não tem script-src ou connect-src no seu CSP, nenhuma alteração é necessária para essas diretivas.
Adicione essas configurações ao seu CSP existente sem remover suas políticas atuais. Como parte do seu plano cside, você também pode direcionar violações de CSP para nosso painel para monitoramento.
Gerenciamento de Ambientes
A implementação do CSP frequentemente varia entre ambientes de desenvolvimento e produção. Mantenha configurações de CSP consistentes em todos os ambientes para evitar problemas de implantação e falhas de segurança.
Estratégia de Design de Políticas
Equilibre sua implementação de CSP entre:
- Políticas Rigorosas: Maior segurança através de regras específicas, mas requer mais manutenção
- Políticas Permissivas: Manutenção mais fácil, mas pode introduzir vulnerabilidades de segurança
As capacidades de monitoramento do cside permitem que você implemente regras mais amplas enquanto mantém a segurança através de relatórios e análises abrangentes de violações.
Desafios Conhecidos
A diretiva connect-src requer consideração cuidadosa devido a dependências dinâmicas do lado do cliente. Ao implementar essa diretiva, certifique-se de contabilizar todos os endpoints aos quais seus scripts se conectam, incluindo analytics, APIs e serviços de terceiros.