Introduction
La politique de sécurité des contenus (CSP) est un concept de sécurité visant à prévenir les attaques de cross-site scripting et autres attaques d'injection de données dans les sites web.
Si vous utilisez CSP sur votre site web, vous devez ajouter l'une des règles suivantes pour rendre Userlike utilisable.
Règle pour charger les polices de caractères
Utilisez cette règle CSP si vous prévoyez d'utiliser des polices de caractères personnalisées dans le messagerie du site web.
javascript
child-src 'self' api.userlike.com userlike-cdn-widgets.s3-eu-west-1.amazonaws.com userlike-cdn-widgets.userlike.com userlike-cdn-umm.b-cdn.net blob:; connect-src wss://umd.userlike.com umd.userlike.com api.userlike.com userlike-cdn-web.b-cdn.net www.userlike.com blob: userlike-cdn-umm.b-cdn.net userlike-cdn-widgets.s3-eu-west-1.amazonaws.com; font-src data: userlike-cdn-umm.b-cdn.net fonts.gstatic.com; frame-src 'self' api.userlike.com userlike-cdn-widgets.s3-eu-west-1.amazonaws.com userlike-cdn-widgets.userlike.com userlike-cdn-umm.b-cdn.net www.youtube.com player.vimeo.com; img-src data: userlike-cdn-operators.userlike.com userlike-cdn-operators.s3-eu-west-1.amazonaws.com userlike-cdn-operators.userlike.com userlike-cdn-web.b-cdn.net www.userlike.com userlike-store-media-files.s3.amazonaws.com i.ytimg.com userlike-cdn-media-files.userlike.com; media-src userlike-cdn-umm.b-cdn.net userlike-store-media-files.s3.amazonaws.com www.userlike.com blob:; object-src 'none'; script-src 'self' 'unsafe-inline' 'wasm-unsafe-eval' api.userlike.com userlike-cdn-widgets.s3-eu-west-1.amazonaws.com userlike-cdn-widgets.userlike.com userlike-cdn-umm.b-cdn.net
Règle sans chargement de polices de caractères
Utilisez cette règle CSP si vous prévoyez d'utiliser des polices de caractères système dans le messagerie du site Web.
javascript
child-src 'self' api.userlike.com userlike-cdn-widgets.s3-eu-west-1.amazonaws.com userlike-cdn-widgets.userlike.com userlike-cdn-umm.b-cdn.net blob:; connect-src wss://umd.userlike.com umd.userlike.com api.userlike.com userlike-cdn-web.b-cdn.net www.userlike.com blob: userlike-cdn-umm.b-cdn.net userlike-cdn-widgets.s3-eu-west-1.amazonaws.com; frame-src 'self' api.userlike.com userlike-cdn-widgets.s3-eu-west-1.amazonaws.com userlike-cdn-widgets.userlike.com userlike-cdn-umm.b-cdn.net www.youtube.com player.vimeo.com; img-src data: userlike-cdn-operators.userlike.com userlike-cdn-operators.s3-eu-west-1.amazonaws.com userlike-cdn-operators.userlike.com userlike-cdn-web.b-cdn.net www.userlike.com userlike-store-media-files.s3.amazonaws.com i.ytimg.com userlike-cdn-media-files.userlike.com; media-src userlike-cdn-umm.b-cdn.net userlike-store-media-files.s3.amazonaws.com www.userlike.com blob:; object-src 'none'; script-src 'self' 'unsafe-inline' 'wasm-unsafe-eval' api.userlike.com userlike-cdn-widgets.s3-eu-west-1.amazonaws.com userlike-cdn-widgets.userlike.com userlike-cdn-umm.b-cdn.net

Utilisation de notre Widget avec une politique CSP stricte

Notre widget s'appuie sur des scripts et des styles injectés dynamiquement pour fonctionner correctement. Si vous appliquez une politique de sécurité du contenu (CSP) stricte, nous recommandons d'utiliser un nonce CSP — un jeton unique et cryptographiquement sécurisé ajouté aux scripts et styles spécifiques.
Un nonce CSP garantit que seuls les scripts et les styles possédant le jeton correspondant sont exécutés, tandis que tous les autres sont bloqués.
👉 En savoir plus sur les nonces CSP : https://content-security-policy.com/nonce/
Si votre site utilise des nonces CSP, vous pouvez toujours intégrer notre widget en utilisant l'API Messenger.
📘 Pour les instructions d'installation, consultez notre documentation :
Exemple :
plain text
api.mount({ nonce: 'YOUR_NONCE' })
⚠️ Note : En raison de limitations techniques, les fonctionnalités d'enregistrement vocal et de sélecteur d'émojis ne sont pas disponibles lors de l'utilisation d'un nonce CSP.
Si vous intégrez Userlike via notre balise script, vous pouvez simplement ajouter votre nonce à celle-ci en utilisant l'attribut nonce :
plain text
<script async type="text/javascript" src="https://userlike-cdn-widgets...." nonce="YOUR_NONCE"></script>