Intro
Content Security Policy (CSP) ist ein Sicherheitskonzept, um Cross-Site-Scripting und andere Angriffe durch Einschleusen von Daten in Webseiten zu verhindern.
Falls Sie CSP auf Ihrer Webseite einsetzen, müssen Sie eine der folgenden Regeln hinzufügen, um Userlike nutzbar zu machen.
Regel mit Laden von Schriftarten
Benutzen Sie diese CSP-Regel, wenn Sie planen, individuelle Web-Schriftarten im Website Messenger einzusetzen.
javascriptchild-src 'self' api.userlike.com userlike-cdn-widgets.s3-eu-west-1.amazonaws.com userlike-cdn-widgets.userlike.com userlike-cdn-umm.b-cdn.net blob:; connect-src wss://umd.userlike.com umd.userlike.com api.userlike.com userlike-cdn-web.b-cdn.net www.userlike.com blob: userlike-cdn-umm.b-cdn.net userlike-cdn-widgets.s3-eu-west-1.amazonaws.com; font-src data: userlike-cdn-umm.b-cdn.net fonts.gstatic.com; frame-src 'self' api.userlike.com userlike-cdn-widgets.s3-eu-west-1.amazonaws.com userlike-cdn-widgets.userlike.com userlike-cdn-umm.b-cdn.net www.youtube.com player.vimeo.com; img-src data: userlike-cdn-operators.userlike.com userlike-cdn-operators.s3-eu-west-1.amazonaws.com userlike-cdn-operators.userlike.com userlike-cdn-web.b-cdn.net www.userlike.com userlike-store-media-files.s3.amazonaws.com i.ytimg.com userlike-cdn-media-files.userlike.com; media-src userlike-cdn-umm.b-cdn.net userlike-store-media-files.s3.amazonaws.com www.userlike.com blob:; object-src 'none'; script-src 'self' 'unsafe-inline' 'wasm-unsafe-eval' api.userlike.com userlike-cdn-widgets.s3-eu-west-1.amazonaws.com userlike-cdn-widgets.userlike.com userlike-cdn-umm.b-cdn.net
Regel ohne Laden von Schriftarten
Benutzen Sie diese CSP-Regel, wenn Sie planen, Systemschriftarten im Website Messenger einzusetzen.
javascriptchild-src 'self' api.userlike.com userlike-cdn-widgets.s3-eu-west-1.amazonaws.com userlike-cdn-widgets.userlike.com userlike-cdn-umm.b-cdn.net blob:; connect-src wss://umd.userlike.com umd.userlike.com api.userlike.com userlike-cdn-web.b-cdn.net www.userlike.com blob: userlike-cdn-umm.b-cdn.net userlike-cdn-widgets.s3-eu-west-1.amazonaws.com; frame-src 'self' api.userlike.com userlike-cdn-widgets.s3-eu-west-1.amazonaws.com userlike-cdn-widgets.userlike.com userlike-cdn-umm.b-cdn.net www.youtube.com player.vimeo.com; img-src data: userlike-cdn-operators.userlike.com userlike-cdn-operators.s3-eu-west-1.amazonaws.com userlike-cdn-operators.userlike.com userlike-cdn-web.b-cdn.net www.userlike.com userlike-store-media-files.s3.amazonaws.com i.ytimg.com userlike-cdn-media-files.userlike.com; media-src userlike-cdn-umm.b-cdn.net userlike-store-media-files.s3.amazonaws.com www.userlike.com blob:; object-src 'none'; script-src 'self' 'unsafe-inline' 'wasm-unsafe-eval' api.userlike.com userlike-cdn-widgets.s3-eu-west-1.amazonaws.com userlike-cdn-widgets.userlike.com userlike-cdn-umm.b-cdn.net
Verwendung unseres Widgets mit einer strikten CSP-Richtlinie
Unser Widget ist auf dynamisch eingefügte Inline-Skripte und -Styles angewiesen, um korrekt zu funktionieren. Wenn Sie eine strikte Content Security Policy (CSP) durchsetzen, empfehlen wir die Verwendung einer CSP-Nonce – eines einzigartigen, kryptographisch sicheren Tokens, das bestimmten Inline-Skripten und -Styles hinzugefügt wird.
Eine CSP-Nonce stellt sicher, dass nur Skripte und Styles mit dem übereinstimmenden Token ausgeführt werden, während alle anderen blockiert werden.
👉 Erfahren Sie mehr über CSP-Nonces: https://content-security-policy.com/nonce/
Wenn Ihre Website CSP-Nonces verwendet, können Sie unser Widget weiterhin durch die Verwendung der Messenger-API integrieren.
📘 Anleitungen zur Einrichtung finden Sie in unserer Dokumentation:
Beispiel:
plain textapi.mount({ nonce: 'YOUR_NONCE' })
⚠️ Hinweis: Aufgrund technischer Einschränkungen sind die Sprachaufnahme- und Emoji-Picker-Funktionen bei Verwendung einer CSP-Nonce nicht verfügbar.
Wenn Sie Userlike über unser Script-Tag einbinden, können Sie Ihre Nonce einfach mit dem
nonce-Attribut hinzufügen:plain text<script async type="text/javascript" src="https://userlike-cdn-widgets...." nonce="YOUR_NONCE"></script>
read this article in English:
https://docs.userlike.com/setup/widget-integration/content-security-policy