Université
Webinaires
Communauté
Centre d'aide
Documentation Technique
Platforme Contentsquare

Content security policy (CSP)

Si votre site utilise implémente une Content Security Policy (CSP), assurez-vous que les sources de contenues utilisées par le Tag sont incluses dans la liste des sources autorisées.

La configuration CSP suivante permet au Tag de fonctionner sur la majorités des sites web :

Content-Security-Policy: script-src 'unsafe-inline' *.contentsquare.net app.contentsquare.com; child-src blob:; worker-src blob:; img-src *.contentsquare.net; connect-src *.contentsquare.net *.contentsquare.com; frame-src csxd.{crossdomain}

Directives et valeurs

Section titled Directives et valeurs

script-src 'unsafe-inline' *.contentsquare.net app.contentsquare.com

Section titled script-src 'unsafe-inline' *.contentsquare.net app.contentsquare.com

Le tracking tag provient du domaine t.contentsquare.net, vous devez donc l’autoriser. Le tracking tag est typiquement chargé par un court script inline, vous devez autoriser le chargement des scripts avec ‘unsafe-inline’. Même si vous chargez le tag autrement, ‘unsafe-inline’ est requis pour le tracking cross-domaine : les iframe cross domaine Contentsquare utilisent des scripts inline.

app.contentsquare.com n’est pas utilisé par le tracking tag pour collecter des données. Cependant, lorsque vous créez un zoning dans l’application Contentsquare, un script est injecté dans une iframe pour faciliter l’analyse dans la page et la création du zoning.

child-src blob: / worker-src blob:

Section titled child-src blob: / worker-src blob:

Contentsquare utilise les Web Workers, construit à partir d’une URL blob contenant le corps d’une fonction en tant que chaîne de caractères. Les origines du protocole blob: doivent donc être autorisées.

img-src *.contentsquare.net

Section titled img-src *.contentsquare.net

Contentsquare utilise des appels vers de fausses images afin d’envoyer les données tracées vers nos serveurs. Les sous-domaines de tracking doivent être enregistrés comme des sources autorisées pour les images. Utilisez une wildcard pour anticiper l’ajout de nouveaux sous-domaines. Évitez de spécifier des sous domaines spécifiques.

connect-src *.contentsquare.net *.contentsquare.com

Section titled connect-src *.contentsquare.net *.contentsquare.com

Contentsquare utilise XMLHttpRequest pour envoyer les données vers ses serveurs. Les sous-domaines de tracking doivent être enregistrés comme des sources autorisées pour les APIs HTTP. Utilisez une wildcard pour anticiper l’ajout de nouveaux sous-domaines. Évitez de spécifier des sous domaines spécifiques.

frame-src csxd.{crossdomain}

Section titled frame-src csxd.{crossdomain}

Si le tracking cross domain est actif, le Tag devra charger des iframes pour fonctionner. Le tag chargera une iframe pour chaque domaine sur lequel le tracking cross domain est actif. Vous devez les ajouter comme ceci : frame-src csxd.domain1.com csxd.domain2.com.