Статьи с тэгом :
Закрыть
История изменений
Закрыть
Попробовать в облаке
Попробовать в облаке
Справочный центр
ONLYOFFICE Docs Developer Edition

Работа с плагинами при использовании CSP

ONLYOFFICE Docsv6.4 История изменений ONLYOFFICE Docs

Версия 6.4.1

Дата выпуска: 28.09.2021

Версия 6.4.0

Дата выпуска: 26.08.2021

Версия 6.3.2

Дата выпуска: 10.08.2021

Версия 6.3.1

Дата выпуска: 08.06.2021

Версия 6.3.0

Дата выпуска: 20.05.2021

Версия 6.2.2

Дата выпуска: 19.04.2021

Версия 6.2.1

Дата выпуска: 31.03.2021

Версия 6.2.0

Дата выпуска: 01.03.2021

Версия 6.1.1

Дата выпуска: 28.01.2021

Версия 6.1.0

Дата выпуска: 02.12.2020

Версия 6.0.2

Дата выпуска: 12.11.2020

Версия 6.0.1

Дата выпуска: 28.10.2020

Версия 6.0.0

Дата выпуска: 14.10.2020

Версия 5.6.5

Дата выпуска: 21.09.2020

Версия 5.6.4

Дата выпуска: 09/08/2020

Версия 5.6.3

Дата выпуска: 08/17/2020

Версия 5.6.2

Дата выпуска: 07.08.2020

Версия 5.6.1

Дата выпуска: 05.08.2020

Версия 5.6.0

Дата выпуска: 07/29/2020

Версия 5.5.3

Дата выпуска: 22.05.2020

Версия 5.5.1

Дата выпуска: 09.04.2020

Версия 5.5.0

Дата выпуска: 05.03.2020

Версия 5.4.2

Дата выпуска: 27.11.2019

Версия 5.4.1

Дата выпуска: 02.10.2019

Версия 5.4.0

Дата выпуска: 03.09.2019

Версия 5.3.4

Дата выпуска: 16.07.2019

Версия 5.3.2

Дата выпуска: 24.06.2019

Версия 5.3.1

Дата выпуска: 06.06.2019

Версия 5.3.0

Дата выпуска: 28.05.2019

Версия 5.2.8

Дата выпуска: 05.02.2019

Версия 5.2.7

Дата выпуска: 16.01.2019

Версия 5.2.6

Дата выпуска: 25.12.2018

Версия 5.2.4

Дата выпуска: 12.12.2018

Версия 5.2.3

Дата выпуска: 31.10.2018

Версия 5.2.2

Дата выпуска: 05.10.2018

Версия 5.2.0

Дата выпуска: 28.09.2018

Версия 5.1.5

Дата выпуска: 18.07.2018

Версия 5.1.4

Дата выпуска: 24.05.2018

Версия 5.1.3

Дата выпуска: 27.04.2018

Версия 5.1.2

Дата выпуска: 11.04.2018

Версия 5.1.1

Дата выпуска: 05.04.2018

Версия 5.1.0

Дата выпуска: 28.03.2018

Версия 5.0.7

Дата выпуска: 16.01.2018

Версия 5.0.6

Дата выпуска: 11.12.2017

Версия 5.0.5

Дата выпуска: 28.11.2017

Версия 5.0.4

Дата выпуска: 14.11.2017

Версия 5.0.3

Дата выпуска: 02.11.2017

Версия 5.0.2 только SaaS-версия

Дата выпуска: 13.10.2017

Версия 5.0.1 только SaaS-версия

Дата выпуска: 05.10.2017

Версия 5.0.0 только SaaS-версия

Дата выпуска: 23.09.2017

Версия 4.4.4

Дата выпуска: 13.09.2017

Версия 4.4.3

Дата выпуска: 14.08.2017

Версия 4.4.2

Дата выпуска: 24.07.2017

Версия 4.4.1

Дата выпуска: 05.07.2017

Версия 4.3.6

Дата выпуска: 14.06.2017

Версия 4.3.5

Дата выпуска: 05.06.2017

Версия 4.3.4

Дата выпуска: 16.05.2017

Версия 4.3.3

Дата выпуска: 28.04.2017

Версия 4.3.2

Дата выпуска: 17.04.2017

Версия 4.3.1

Дата выпуска: 06.04.2017

Версия 4.3.0

Дата выпуска: 03.04.2017

Версия 4.2.11

Дата выпуска: 13.03.2017

Версия 4.2.10

Дата выпуска: 20.02.2017

Версия 4.2.9

Дата выпуска: 14.02.2017

Версия 4.2.8

Дата выпуска: 06.02.2017

Версия 4.2.7

Дата выпуска: 01.02.2017

Версия 4.2.5

Дата выпуска: 16.01.2017

Версия 4.2.4

Дата выпуска: 09.01.2017

Версия 4.2.3

Дата выпуска: 23.12.2016

Версия 4.2.2

Дата выпуска: 21.12.2016

Версия 4.2.1

Дата выпуска: 06.12.2016

Версия 4.2.0

Дата выпуска: 01.12.2016

Версия 4.1.8

Дата выпуска: 03.11.2016

Версия 4.1.7

Дата выпуска: 01.11.2016

Версия 4.1.6

Дата выпуска: 26.10.2016

Версия 4.1.5

Дата выпуска: 13.10.2016

Версия 4.1.4

Дата выпуска: 07.10.2016

Версия 4.1.3

Дата выпуска: 28.09.2016

Версия 4.1.2

Дата выпуска: 22.09.2016

Версия 4.0.3

Дата выпуска: 04.08.2016

Версия 4.0.2

Дата выпуска: 03.08.2016

Введение

Content Security Policy (CSP, политика безопасности содержимого) - это стандарт безопасности, предназначенный для предотвращения ряда угроз, например, XSS-атак (Cross-Site Scripting, межсайтовый скриптинг) и т.д. Когда CSP включена, она позволяет загружать содержимое только из разрешенных источников. В частности, запрещает выполнение запросов к сторонним доменам, которые не были явно разрешены.

Если вы используете ONLYOFFICE Docs (Enterprise Edition или Developer Edition), интегрированный с вашим веб-решением, и если при этом на вашем веб-сервере включена политика CSP для обеспечения повышенной безопасности, то стандартные настройки CSP могут вызвать некоторые проблемы. В онлайн-редакторах ONLYOFFICE есть ряд плагинов, некоторые из которых используют сторонние ресурсы и выполняют запросы к сторонним доменам, например, плагин YouTube. Так как CSP запрещает выполнение запросов к сторонним доменам, это препятствует правильной работе плагинов, например, блокирует загрузку видео с YouTube.

Добавление сторонних доменов в список разрешенных ресурсов

Чтобы обеспечить правильную работу плагинов, необходимо разрешить запросы на определенные домены (полный список доменов приводится ниже). Для этого надо изменить HTTP-заголовок, включающий политику CSP. В зависимости от решения, которое вы используете, он может находиться в разных файлах. В данной инструкции описываются базовые принципы, а не конкретные случаи. Заголовок должен выглядеть следующим образом:

Header set Content-Security-Policy "default-src 'self'; script-src 'self'; connect-src 'self';  img-src 'self'; style-src 'self';"

Эта строка содержит директивы, которые указывают разрешенные источники для разных типов содержимого: скриптов, таблиц стилей, шрифтов, изображений, элементов <audio> или <video> HTML5 и т.д.

Директива default-src применяется в тех случаях, если директива для определенного типа ресурса не задана.

‘self’ означает, что содержимое можно загружать только с текущего домена.

Необходимо изменить директиву default-src, добавив значения доверенных доменов:

default-src 'self' *.trusted1.com *.trusted2.com

Это позволит выполнять запросы на указанные доверенные домены *.trusted1.com и *.trusted2.com, включая поддомены, и загружать с них содержимое.

Список сторонних доменов

Следующие плагины выполняют запросы на сторонние домены:

Плагин Домен
clipart https://openclipart.org
speech https://code.responsivevoice.org
youtube https://www.youtube.com
synonim https://words.bighugelabs.com
translate https://translate.yandex.net
ocr https://cdn.rawgit.com

По умолчанию в состав онлайн-редакторов ONLYOFFICE включены следующие плагины из перечисленных: ocr, speech, synonim, translate, youtube.

Плагин clipart не включен в состав онлайн-редакторов, но доступен на https://github.com/ONLYOFFICE/sdkjs-plugins и может быть добавлен самостоятельно.

Для того чтобы включить все вышеперечисленные домены в список разрешенных источников, HTTP-заголовок должен выглядеть следующим образом:

Header set Content-Security-Policy "default-src 'self' *openclipart.org *code.responsivevoice.org *www.youtube.com *words.bighugelabs.com *translate.yandex.net *cdn.rawgit.com; script-src 'self'; connect-src 'self'; img-src 'self'; style-src 'self';"
в случае самостоятельной донастройки ONLYOFFICE Enterprise Edition с использованием CSP и при подключении плагинов wordpress и easybib потребуется также указать домены *wordpress.com и *easybib.com.
Скачать Разместите на собственном сервере Доступно для
Docker, Windows и Linux
Вас также может заинтересовать:
Закрыть