Статьи с тэгом :
Закрыть
История изменений
Закрыть
Попробовать в облаке
Попробовать в облаке
Справочный центр
ONLYOFFICE Docs Enterprise Edition

Работа с плагинами при использовании CSP

ONLYOFFICE Docs v7.1 История изменений ONLYOFFICE Docs

Version 7.1.1

Release date: 06/02/2022

Version 7.1.0

Release date: 05/12/2022

Version 7.0.1

Release date: 02/22/2022

Version 7.0.0

Release date: 01/18/2022

Version 6.4.2

Release date: 10/14/2021

Version 6.4.1

Release date: 09/28/2021

Version 6.4.0

Release date: 08/26/2021

Version 6.3.2

Release date: 08/10/2021

Version 6.3.1

Release date: 06/08/2021

Version 6.3.0

Release date: 05/20/2021

Version 6.2.2

Release date: 04/19/2021

Version 6.2.1

Release date: 03/31/2021

Version 6.2.0

Release date: 03/01/2021

Version 6.1.1

Release date: 01/28/2021

Version 6.1.0

Release date: 12/02/2020

Version 6.0.2

Release date: 11/12/2020

Version 6.0.1

Release date: 10/28/2020

Version 6.0.0

Release date: 10/14/2020

Version 5.6.5

Release date: 09/21/2020

Version 5.6.4

Release date: 09/08/2020

Version 5.6.3

Release date: 08/17/2020

Version 5.6.2

Release date: 08/07/2020

Version 5.6.1

Release date: 08/05/2020

Version 5.6.0

Release date: 07/29/2020

Version 5.5.3

Release date: 05/22/2020

Version 5.5.1

Release date: 04/09/2020

Version 5.5.0

Release date: 03/05/2020

Version 5.4.2

Release date: 11/27/2019

Version 5.4.1

Release date: 10/02/2019

Version 5.4.0

Release date: 09/03/2019

Version 5.3.4

Release date: 07/16/2019

Version 5.3.2

Release date: 06/24/2019

Version 5.3.1

Release date: 06/06/2019

Version 5.3.0

Release date: 05/28/2019

Version 5.2.8

Release date: 02/05/2019

Version 5.2.7

Release date: 01/16/2019

Version 5.2.6

Release date: 12/25/2018

Version 5.2.4

Release date: 12/12/2018

Version 5.2.3

Release date: 10/31/2018

Version 5.2.2

Release date: 10/05/2018

Version 5.2.0

Release date: 09/28/2018

Version 5.1.5

Release date: 07/18/2018

Version 5.1.4

Release date: 05/24/2018

Version 5.1.3

Release date: 04/27/2018

Version 5.1.2

Release date: 04/11/2018

Version 5.1.1

Release date: 04/05/2018

Version 5.1.0

Release date: 03/28/2018

Version 5.0.7

Release date: 01/16/2018

Version 5.0.6

Release date: 12/11/2017

Version 5.0.5

Release date: 11/28/2017

Version 5.0.4

Release date: 11/14/2017

Version 5.0.3

Release date: 11/02/2017

Version 5.0.2 только SaaS-версия

Release date: 10/13/2017

Version 5.0.1 только SaaS-версия

Release date: 10/05/2017

Version 5.0.0 только SaaS-версия

Release date: 09/23/2017

Version 4.4.4

Release date: 09/13/2017

Windows-only release

See changelog on GitHub

Version 4.4.3

Release date: 08/14/2017

Version 4.4.2

Release date: 07/24/2017

Version 4.4.1

Release date: 07/05/2017

Version 4.3.6

Release date: 06/14/2017

Version 4.3.5

Release date: 06/05/2017

Version 4.3.4

Release date: 05/16/2017

Version 4.3.3

Release date: 04/28/2017

Version 4.3.2

Release date: 04/17/2017

Version 4.3.1

Release date: 04/06/2017

Version 4.3.0

Release date: 04/03/2017

Version 4.2.11

Release date: 03/13/2017

Version 4.2.10

Release date: 02/20/2017

Version 4.2.9

Release date: 02/14/2017

Version 4.2.8

Release date: 02/06/2017

Version 4.2.7

Release date: 02/01/2017

Version 4.2.5

Release date: 01/16/2017

Version 4.2.4

Release date: 01/09/2017

Version 4.2.3

Release date: 12/23/2016

Version 4.2.2

Release date: 12/21/2016

Version 4.2.1

Release date: 12/06/2016

Version 4.2.0

Release date: 12/01/2016

Version 4.1.8

Release date: 11/03/2016

Version 4.1.7

Release date: 11/01/2016

Version 4.1.6

Release date: 10/26/2016

Version 4.1.5

Release date: 10/13/2016

Version 4.1.4

Release date: 10/07/2016

Version 4.1.3

Release date: 09/28/2016

Version 4.1.2

Release date: 09/22/2016

Version 4.0.3

Release date: 08/04/2016

Version 4.0.2

Release date: 08/03/2016

Введение

Content Security Policy (CSP, политика безопасности содержимого) - это стандарт безопасности, предназначенный для предотвращения ряда угроз, например, XSS-атак (Cross-Site Scripting, межсайтовый скриптинг) и т.д. Когда CSP включена, она позволяет загружать содержимое только из разрешенных источников. В частности, запрещает выполнение запросов к сторонним доменам, которые не были явно разрешены.

Если вы используете ONLYOFFICE Docs (Enterprise Edition или Developer Edition), интегрированный с вашим веб-решением, и если при этом на вашем веб-сервере включена политика CSP для обеспечения повышенной безопасности, то стандартные настройки CSP могут вызвать некоторые проблемы. В онлайн-редакторах ONLYOFFICE есть ряд плагинов, некоторые из которых используют сторонние ресурсы и выполняют запросы к сторонним доменам, например, плагин YouTube. Так как CSP запрещает выполнение запросов к сторонним доменам, это препятствует правильной работе плагинов, например, блокирует загрузку видео с YouTube.

Добавление сторонних доменов в список разрешенных ресурсов

Чтобы обеспечить правильную работу плагинов, необходимо разрешить запросы на определенные домены (полный список доменов приводится ниже). Для этого надо изменить HTTP-заголовок, включающий политику CSP. В зависимости от решения, которое вы используете, он может находиться в разных файлах. В данной инструкции описываются базовые принципы, а не конкретные случаи. Заголовок должен выглядеть следующим образом:

Header set Content-Security-Policy "default-src 'self'; script-src 'self'; connect-src 'self';  img-src 'self'; style-src 'self';"

Эта строка содержит директивы, которые указывают разрешенные источники для разных типов содержимого: скриптов, таблиц стилей, шрифтов, изображений, элементов <audio> или <video> HTML5 и т.д.

Директива default-src применяется в тех случаях, если директива для определенного типа ресурса не задана.

‘self’ означает, что содержимое можно загружать только с текущего домена.

Необходимо изменить директиву default-src, добавив значения доверенных доменов:

default-src 'self' *.trusted1.com *.trusted2.com

Это позволит выполнять запросы на указанные доверенные домены *.trusted1.com и *.trusted2.com, включая поддомены, и загружать с них содержимое.

Список сторонних доменов

Следующие плагины выполняют запросы на сторонние домены:

Плагин Домен
clipart https://openclipart.org
speech https://code.responsivevoice.org
youtube https://www.youtube.com
thesaurus https://words.bighugelabs.com
translate https://translate.yandex.net
ocr https://cdn.rawgit.com

По умолчанию в состав онлайн-редакторов ONLYOFFICE включены следующие плагины из перечисленных: ocr, speech, thesaurus, translate, youtube.

Плагин clipart не включен в состав онлайн-редакторов, но доступен на https://github.com/ONLYOFFICE/sdkjs-plugins и может быть добавлен самостоятельно.

Для того чтобы включить все вышеперечисленные домены в список разрешенных источников, HTTP-заголовок должен выглядеть следующим образом:

Header set Content-Security-Policy "default-src 'self' *openclipart.org *code.responsivevoice.org *www.youtube.com *words.bighugelabs.com *translate.yandex.net *cdn.rawgit.com; script-src 'self'; connect-src 'self'; img-src 'self'; style-src 'self';"
в случае самостоятельной донастройки ONLYOFFICE Enterprise Edition с использованием CSP и при подключении плагинов wordpress и easybib потребуется также указать домены *wordpress.com и *easybib.com.
Скачать Разместите на собственном сервере Доступно для
Docker, Windows и Linux
Вас также может заинтересовать:
Закрыть