Login

Try consentmanager
Book a call

Politique de sécurité du contenu (CSP)

Les sites web qui mettent en œuvre une politique de sécurité du contenu (CSP) sur leur site doivent respecter certaines règles afin de garantir que la couche de consentement de Consentmanager continue de fonctionner.

Règles CSP

La couche de consentement de Consentmanager chargera le contenu via différents types de données et mécanismes, en fonction des paramètres et de l'utilisation du code. Elle appellera également des scripts de différentes manières :

  • Le système ajoutera <script src="..."> des éléments à la page
  • Le système ajoutera <script>...</script> des éléments à la page
  • Le système ajoutera <style>...</style> des éléments à la page
  • Le système ajoutera <link ...> des éléments à la page
  • Le système ajoutera <img ...> des éléments à la page
  • Le système ajoutera <iframe ...> des éléments à la page
  • Le système chargera le contenu à l'aide de CORS (window.XMLHttpRequest)
  • Le système utilisera <... onclick="...">
  • Le système utilisera @font-face pour charger les polices

Le système n'utilisera jamais :

  • Le système n'utilisera pas eval()
  • Le système n'utilisera pas var x = new Function(....)
  • Le système n'utilisera pas d'arguments de chaîne pour setTimeout ou setInterval (par exemple setTimeout("dosomething()")), il utilisera toujours des arguments de fonction
  • Le système n'utilisera pas <a href="javascript:...">...</a>, il utilisera toujours onclick

Pour ce faire, la méthode la plus simple avec un CSP consiste à autoriser l'ensemble du domaine consentmanager pour tous les éléments :

Content-Security-Policy: default-src 'self' https://*.consentmanager.net;

Remarque : si vous utilisez un domaine personnalisé, vous devrez l'ajouter à la liste blanche de votre CSP.
Si vous utilisez notre widget d'accessibilité, vous devrez ajouter https://*.acsbapp.com à la liste blanche.

Si vous souhaitez utiliser un CSP plus restrictif, vous pouvez utiliser :

Content-Security-Policy: default-src 'self'; 
                         connect-src 'self' https://*.consentmanager.net; 
                         frame-src 'self' https://*.consentmanager.net; 
                         img-src 'self' https://*.consentmanager.net; 
                         script-src 'self' https://*.consentmanager.net;
                         style-src 'self' https://*.consentmanager.net;
                         font-src 'self' https://*.consentmanager.net;

Nonces et intégrité du script

Étant donné que le système ajoutera d'autres scripts, il ne prend pas en charge les attributs nonce et integrity.

We do our best to keep this purely informative documentation up to date. However, if you notice that any of these guides need a little touch-up, let us know!