Login

Try consentmanager
Book a call

Content Security Policy (CSP)

Webbplatser som implementerar en Content Security Policy (CSP) på sin webbplats bör följa vissa regler för att säkerställa att Consentmanagers Consent Layer fortsätter att fungera.

CSP-regler

Consentmanager Consent Layer laddar innehåll via olika datatyper och mekanismer, beroende på inställningarna och användningen av koden. Den anropar också skript på olika sätt:

  • Systemet lägger till <script src="..."> element till sidan
  • Systemet lägger till <script>...</script> element till sidan
  • Systemet lägger till <style>...</style> element till sidan
  • Systemet lägger till <link ...> element till sidan
  • Systemet lägger till <img ...> element till sidan
  • Systemet lägger till <iframe ...> element till sidan
  • Systemet laddar innehåll med hjälp av CORS (window.XMLHttpRequest)
  • Systemet kommer att använda <... onclick="...">
  • Systemet kommer att använda @font-face för att ladda teckensnitt

Systemet kommer aldrig att använda:

  • Systemet kommer inte att använda eval()
  • Systemet kommer inte att använda var x = new Function(....)
  • Systemet kommer inte att använda strängargument för setTimeout eller setInterval (t.ex. setTimeout("dosomething()")), det kommer alltid att använda funktionsargument
  • Systemet kommer inte att använda <a href="javascript:...">...</a>, utan kommer alltid att använda onclick

För att möjliggöra ovanstående är det enklaste sättet att använda en CSP att aktivera hela consentmanager-domänen för alla element:

Content-Security-Policy: default-src 'self' https://*.consentmanager.net;

Obs! Om du använder en egen domän måste du whitelista denna domän i din CSP.
Om du använder vår tillgänglighetswidget måste du whitelista https://*.acsbapp.com

Om du vill använda en mer restriktiv CSP kan du använda:

Content-Security-Policy: default-src 'self'; 
                         connect-src 'self' https://*.consentmanager.net; 
                         frame-src 'self' https://*.consentmanager.net; 
                         img-src 'self' https://*.consentmanager.net; 
                         script-src 'self' https://*.consentmanager.net;
                         style-src 'self' https://*.consentmanager.net;
                         font-src 'self' https://*.consentmanager.net;

Nonces & skriptintegritet

Eftersom systemet kommer att lägga till andra skript stöder systemet inte nonce- och integritetsattribut.

We do our best to keep this purely informative documentation up to date. However, if you notice that any of these guides need a little touch-up, let us know!