内容安全策略(CSP)支持
内容安全策略(CSP)支持
推荐设置
Web Widget(经典)支持使用内容安全策略(CSP)并遵循谷歌的网站严格的CSP准则.我们建议遵循谷歌的策略,以获得最好的支持和最简单的小部件设置。
遵循这些指导原则时,请添加现时标志
属性添加到Web Widget片段。
<!--Start of Zendesk Widget script -->
<脚本
现时标志="{随机}"
id="ze-snippet"
src="https://static.zdassets.com/ekr/snippet.js?key=xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx"
>脚本>
<!--End of Zendesk Widget script -->
这{随机}
value必须是唯一的加密数字,该数字在CSP每次传输时由服务器生成。
请注意:此安全策略适用于Zendesk Web Widget (Classic)片段的新版本。亚博请确保您的代码片段与上面的示例类似。
自定义设置(使用其他CSP指令)
我们不能保证Web小部件(经典)不会违反不遵循谷歌的自定义CSP的指导方针.然而,如果你添加了以下指令,它应该可以防止小部件导致违规:
默认的-src“自我”
https://静态.zdassets.com
https://ekr.zdassets.com
https://ekr.亚博.com
https://{亚博zendeskSubdomain}.亚博.com
https:// * .zopim.com
https://亚博zendesk-eu.my.sentry.io
wss: / 亚博/ {zendeskSubdomain} .zendesk.com
wss: / / * .zopim.com;
style-src unsafe-inline”;
img src“自我”
https://v2assets.zopim.io
https://static.zdassets.com
数据:;
如果您指定了自定义指令,例如script-src
或connect-src
,添加中指定的主机default-src
以上。