Login

Try consentmanager
Book a call

Polityka bezpieczeństwa treści (CSP)

Witryny internetowe, które wdrażają politykę bezpieczeństwa treści (CSP) na swojej stronie, powinny przestrzegać pewnych zasad, aby zapewnić dalsze działanie warstwy zgody Consentmanager.

Zasady CSP

Warstwa Consent Layer Consentmanager będzie ładować treści za pomocą różnych typów danych i mechanizmów, w zależności od ustawień i zastosowania kodu. Będzie również wywoływać skrypty na różne sposoby:

  • System doda <script src="..."> elementy do strony
  • System doda <script>...</script> elementy do strony
  • System doda <style>...</style> elementy do strony
  • System doda <link ...> elementy do strony
  • System doda <img ...> elementy do strony
  • System doda <iframe ...> elementy do strony
  • System załaduje treść przy użyciu CORS (window.XMLHttpRequest)
  • System wykorzysta <... onclick="...">
  • System użyje @font-face do załadowania czcionek

System nigdy nie użyje:

  • System nie będzie używał eval()
  • System nie będzie używał var x = new Function(....)
  • System nie będzie używał argumentów łańcuchowych dla setTimeout lub setInterval (np. setTimeout("dosomething()")), zawsze będzie używał argumentów funkcji
  • System nie będzie używał <a href="javascript:...">...</a>, zawsze będzie używał onclick

Aby to umożliwić, najprostszym sposobem przy użyciu CSP jest włączenie całej domeny ConsentManager dla wszystkich elementów:

Content-Security-Policy: default-src 'self' https://*.consentmanager.net;

Uwaga: Jeśli korzystasz z domeny niestandardowej, musisz dodać tę domenę do białej listy w swoim CSP.
Jeśli korzystasz z naszego widżetu dostępności, musisz dodać do białej listy https://*.acsbapp.com

Jeśli chcesz użyć bardziej restrykcyjnego CSP, możesz skorzystać z:

Content-Security-Policy: default-src 'self'; 
                         connect-src 'self' https://*.consentmanager.net; 
                         frame-src 'self' https://*.consentmanager.net; 
                         img-src 'self' https://*.consentmanager.net; 
                         script-src 'self' https://*.consentmanager.net;
                         style-src 'self' https://*.consentmanager.net;
                         font-src 'self' https://*.consentmanager.net;

Nonces i integralność skryptu

Ponieważ system doda inne skrypty, nie obsługuje on atrybutów nonce i integrity.

We do our best to keep this purely informative documentation up to date. However, if you notice that any of these guides need a little touch-up, let us know!