Introdução
A Política de Segurança de Conteúdo (CSP) é um conceito de segurança para evitar ataques de Cross-Site-Scripting e outros ataques por meio da inserção de dados em sites da web.
Se você estiver usando o CSP em seu site, precisará adicionar uma das seguintes regras para tornar o Userlike utilizável.
Regra com carregamento de fontes
Use esta regra CSP se planeja usar fontes da web personalizadas no Website Messenger.
javascriptchild-src 'self' api.userlike.com userlike-cdn-widgets.s3-eu-west-1.amazonaws.com userlike-cdn-widgets.userlike.com userlike-cdn-umm.b-cdn.net blob:; connect-src wss://umd.userlike.com umd.userlike.com api.userlike.com userlike-cdn-web.b-cdn.net www.userlike.com blob: userlike-cdn-umm.b-cdn.net userlike-cdn-widgets.s3-eu-west-1.amazonaws.com; font-src data: userlike-cdn-umm.b-cdn.net fonts.gstatic.com; frame-src 'self' api.userlike.com userlike-cdn-widgets.s3-eu-west-1.amazonaws.com userlike-cdn-widgets.userlike.com userlike-cdn-umm.b-cdn.net www.youtube.com player.vimeo.com; img-src data: userlike-cdn-operators.userlike.com userlike-cdn-operators.s3-eu-west-1.amazonaws.com userlike-cdn-operators.userlike.com userlike-cdn-web.b-cdn.net www.userlike.com userlike-store-media-files.s3.amazonaws.com i.ytimg.com userlike-cdn-media-files.userlike.com; media-src userlike-cdn-umm.b-cdn.net userlike-store-media-files.s3.amazonaws.com www.userlike.com blob:; object-src 'none'; script-src 'self' 'unsafe-inline' 'wasm-unsafe-eval' api.userlike.com userlike-cdn-widgets.s3-eu-west-1.amazonaws.com userlike-cdn-widgets.userlike.com userlike-cdn-umm.b-cdn.net
Regra sem carregamento de fontes
Use esta regra CSP se planeja usar fontes do sistema no website Messenger.
javascriptchild-src 'self' api.userlike.com userlike-cdn-widgets.s3-eu-west-1.amazonaws.com userlike-cdn-widgets.userlike.com userlike-cdn-umm.b-cdn.net blob:; connect-src wss://umd.userlike.com umd.userlike.com api.userlike.com userlike-cdn-web.b-cdn.net www.userlike.com blob: userlike-cdn-umm.b-cdn.net userlike-cdn-widgets.s3-eu-west-1.amazonaws.com; frame-src 'self' api.userlike.com userlike-cdn-widgets.s3-eu-west-1.amazonaws.com userlike-cdn-widgets.userlike.com userlike-cdn-umm.b-cdn.net www.youtube.com player.vimeo.com; img-src data: userlike-cdn-operators.userlike.com userlike-cdn-operators.s3-eu-west-1.amazonaws.com userlike-cdn-operators.userlike.com userlike-cdn-web.b-cdn.net www.userlike.com userlike-store-media-files.s3.amazonaws.com i.ytimg.com userlike-cdn-media-files.userlike.com; media-src userlike-cdn-umm.b-cdn.net userlike-store-media-files.s3.amazonaws.com www.userlike.com blob:; object-src 'none'; script-src 'self' 'unsafe-inline' 'wasm-unsafe-eval' api.userlike.com userlike-cdn-widgets.s3-eu-west-1.amazonaws.com userlike-cdn-widgets.userlike.com userlike-cdn-umm.b-cdn.net
Usando Nosso Widget com uma Política CSP Rigorosa
Nosso widget depende de scripts e estilos inline injetados dinamicamente para funcionar corretamente. Se você estiver aplicando uma Política de Segurança de Conteúdo (CSP) rigorosa, recomendamos usar um nonce CSP—um token único e criptograficamente seguro adicionado a scripts e estilos inline específicos.
Um nonce CSP garante que apenas scripts e estilos com o token correspondente sejam executados, enquanto todos os outros são bloqueados.
👉 Saiba mais sobre nonces CSP: https://content-security-policy.com/nonce/
Se seu site usa nonces CSP, você ainda pode integrar nosso widget usando a API do Messenger.
📘 Para instruções de configuração, consulte nossa documentação:
Exemplo:
plain textapi.mount({ nonce: 'YOUR_NONCE' })
⚠️ Nota: Devido a limitações técnicas, os recursos de gravação de voz e seletor de emoji não estão disponíveis ao usar um nonce CSP.
Se você estiver integrando o Userlike através da nossa tag de script, você pode simplesmente adicionar seu nonce usando o atributo
nonce:plain text<script async type="text/javascript" src="https://userlike-cdn-widgets...." nonce="YOUR_NONCE"></script>
read this article in English:
https://docs.userlike.com/setup/widget-integration/content-security-policy