Infos
Menu
Livres
CMP
Autres informations techniques ...
Politique de sécurité du contenu...

Politique de sécurité du contenu (CSP)

Les sites Web qui mettent en œuvre une politique de sécurité du contenu (CSP) sur leur site Web doivent suivre certaines règles afin de garantir que consentmanager La couche de consentement continue de fonctionner.

Règles du CSP

consentmanager La couche de consentement chargera le contenu via différents types de données et mécanismes, selon les paramètres et l'utilisation du code. Elle appellera également des scripts de différentes manières :

  • Le système ajoutera <script src="..."> éléments de la page
  • Le système ajoutera <script>...</script> éléments de la page
  • Le système ajoutera <style>...</style> éléments de la page
  • Le système ajoutera <link ...> éléments de la page
  • Le système ajoutera <img ...> éléments de la page
  • Le système ajoutera <iframe ...> éléments de la page
  • Le système chargera le contenu à l'aide de CORS (window.XMLHttpRequest)
  • Le système utilisera <... onclick="...">
  • Le système utilisera @font-face pour charger les polices

Le système n'utilisera jamais :

  • Le système n'utilisera pas eval()
  • Le système n'utilisera pas var x = new Function(....)
  • Le système n'utilisera pas d'arguments de chaîne pour setTimeout or setInterval (par exemple setTimeout("dosomething()")), il utilisera toujours des arguments de fonction
  • Le système n'utilisera pas <a href="javascript:...">...</a>, il utilisera toujours onclick

Afin de permettre ce qui précède, la manière la plus simple d'utiliser un CSP est d'activer l'ensemble consentmanager domaine pour tous les éléments :

Content-Security-Policy: default-src 'self' https://*.consentmanager.net;

Remarque : si vous utilisez un domaine personnalisé, vous devrez ajouter ce domaine à la liste blanche de votre CSP.
Si vous utilisez notre widget d'accessibilité, vous devrez ajouter https://*.acsbapp.com à la liste blanche

Si vous souhaitez utiliser un CSP plus restrictif, vous pouvez utiliser :

Content-Security-Policy: default-src 'self'; 
                         connect-src 'self' https://*.consentmanager.net; 
                         frame-src 'self' https://*.consentmanager.net; 
                         img-src 'self' https://*.consentmanager.net; 
                         script-src 'self' https://*.consentmanager.net;
                         style-src 'self' https://*.consentmanager.net;
                         font-src 'self' https://*.consentmanager.net;

Nonces et intégrité du script

Étant donné que le système ajoutera d’autres scripts, le système ne supporte pas pour les attributs nonce et integrity.

DÉTAILS
Révision # 2
Créé il y a des mois 8 by Janvier
Le kit de préparation mis à jour il y a des mois 4 by Falko
Navigation de Page
  • Règles du CSP
  • Nonces et intégrité du script
    • Pas encore de compte?

    Devenez conforme au GDPR avec notre cookie GDPR Consent Manager Solution. Essayez maintenant gratuitement!

    Cookie GDPR Consent Manager
    Retour en haut de la page