Login

Try consentmanager
Book a call

Política de seguridad de contenidos (CSP)

Los sitios web que implementan una Política de Seguridad de Contenidos (CSP) en su sitio web deben seguir algunas reglas para garantizar que la capa de consentimiento de Consentmanager siga funcionando.

Normas de CSP

La capa de consentimiento de Consentmanager cargará contenido a través de diversos tipos de datos y mecanismos, dependiendo de la configuración y el uso del código. También ejecutará scripts de diversas formas:

  • El sistema añadirá <script src="..."> elementos a la página
  • El sistema añadirá <script>...</script> elementos a la página
  • El sistema añadirá <style>...</style> elementos a la página
  • El sistema añadirá <link ...> elementos a la página
  • El sistema añadirá <img ...> elementos a la página
  • El sistema añadirá <iframe ...> elementos a la página
  • El sistema cargará el contenido utilizando CORS (window.XMLHttpRequest)
  • El sistema utilizará <... onclick="...">
  • El sistema utilizará @font-face para cargar las fuentes

El sistema nunca utilizará:

  • El sistema no utilizará eval()
  • El sistema no utilizará var x = new Function(....)
  • El sistema no utilizará argumentos de cadena para setTimeout o setInterval (p. ej. setTimeout("dosomething()")), siempre utilizará argumentos de función
  • El sistema no utilizará <a href="javascript:...">...</a>, siempre utilizará onclick

Para que esto sea posible, la forma más sencilla de hacerlo utilizando un CSP es habilitar todo el dominio de ConsentManager para todos los elementos:

Content-Security-Policy: default-src 'self' https://*.consentmanager.net;

Nota: Si utilizas un dominio personalizado, deberás incluirlo en la lista blanca de tu CSP.
Si utilizas nuestro widget de accesibilidad, deberás incluir en la lista blanca https://*.acsbapp.com

Si quieres utilizar un CSP más restrictivo, puedes usar:

Content-Security-Policy: default-src 'self'; 
                         connect-src 'self' https://*.consentmanager.net; 
                         frame-src 'self' https://*.consentmanager.net; 
                         img-src 'self' https://*.consentmanager.net; 
                         script-src 'self' https://*.consentmanager.net;
                         style-src 'self' https://*.consentmanager.net;
                         font-src 'self' https://*.consentmanager.net;

Nonces e integridad del script

Dado que el sistema añadirá otros scripts, no admite atributos de nonce e integridad.

We do our best to keep this purely informative documentation up to date. However, if you notice that any of these guides need a little touch-up, let us know!