WalkMe Content Security Policy

Last Updated Dezember 12, 2023

Kurzübersicht

Eine Content Security Policy (CSP) ist eine Methode zur Angabe von Domänen, aus denen bestimmte Arten von Inhalten geladen werden können. Dies wird von den Eigentümern der Website erstellt und ist nur für andere Browser als-IE oder Edge relevant.

CSP bedeutet im Wesentlichen, dass Ihre Website auf eine Whitelist gesetzt wird, um zu verhindern, dass Inhalte aus Quellen stammen, die nicht der Richtlinie entsprechen. Dies unterscheidet sich von einer allgemeinen Whitelist, die ein Kunde anlegt, um den Zugriff auf bestimmte Websites innerhalb seiner Organisation zu ermöglichen. Bei CSP spielt es keine Rolle, von welcher Organisation / oder von welchem Computer aus Sie auf eine Website zugreifen, wenn Sie in Chrome, Firefox oder Safari arbeiten, sind Sie trotzdem von der Beschränkung betroffen.

Dies wirkt sich auf WalkMe aus, da es Standorte gibt, die einen CSP konfiguriert haben, der WalkMe nicht enthält – und daher das Laden von Skripten durch WalkMe verhindert.

Weitere Informationen über CSP finden Sie hier>>.

Um zu sehen, was der CSP einer Website ist, befolgen Sie diese Anweisungen:

  1. Gehen Sie zur Registerkarte Network.
  2. Klicken Sie auf die Anforderung der Hauptseite (wahrscheinlich die erste Anforderung).
  3. Die CSP wird unter „content-security-policy“ auf der Registerkarte Header aufgeführt.

Technische Tiefenanalyse

Ein CSP kann genau festlegen, welche Quellen für welche Inhaltstypen zulässig sind.

Einige Beispiele für Inhaltstypen sind:

Javascript → script-src

CSS → style-src

Bilder → img-src

Standard (Standard wird verwendet, wenn kein Inhaltstyp angegeben wird) → default-src

Wenn eine Quelle im CSP nicht definiert ist und es keine Standardspezifikation gibt, werden alle Quellen für diesen Typ zugelassen.

Zum Laden von WalkMe – SaaS

Wenn WalkMe von Ihrer CSP blockiert wird, können die Dateien nicht geladen werden und Ihre Inhalte werden nicht angezeigt. Damit WalkMe auf einer Website mit einer CSP geladen werden kann, müssen die Domänen von WalkMe in den richtigen Abschnitten der Richtlinie hinzugefügt werden.

Richtlinie source Beschreibung und Verwendung Beispiel
script-src ‘unsafe-inline’ *.walkme.com
  1. Definiert gültige Quellen für JavaScript (WalkMe lib, WalkMe Player)
  2. Laden und Rendern von dynamischen Elementen auf dem Bildschirm
ShoutOuts WalkMe Menu
style-src ‚unsafe-inline‘ *.walkme.com
  1. Definiert gültige Quellen für Stylesheets
  2. Verwenden von Stilattributen innerhalb eines HTML-Elements
Smart Walk-Thrus Steps (<div style=“…“>)
frame-src ’self‘ *.walkme.com Definiert gültige Quellen für das Laden von Frames Wechselt in einem Schritt zu Schritten und iFrame
frame-ancestor *.walkme.com Wird verwendet, um Ressourcen aus WalkMe-Domänen in einen Rahmen zu setzen Resources in Lightbox
font-src

‘self’

data:

*.walkme.com Wird für das Herunterladen der WalkMe-Schriftart vom WalkMe-Server verwendet WalkMe-Menü und Widget-Schriftart
img-src

‘self’

data:

*.walkme.com Der WalkMe-Ereignissammler fügt ein Bild (Pixel) ein, um das Ereignis als „gesehen“ zu erfassen. Bilder und Resources
s3.walkmeusercontent.com
d3sbxpiag177w8.cloudfront.net
connect-src ‘self’ *.walkme.com Senden von XMLHttpRequest über WalkMe-Endbenutzerereignis Insights, Goals, Tasks, TeachMe, OnBoarding, Actionbot
worker-src blob *.walkme.com Wird verwendet, um Ereignisse über einen Worker zu senden Session Playback
object-src *.walkme.com Session Playback
Content Security Policy: script-src ’self‘ *.walkme.com ‚unsafe-inline‘; style-src ’self‘ *.walkme.com ‚unsafe-inline‘; img-src ’self‘ *.walkme.com s3.walkmeusercontent.com d3sbxpiag177w8.cloudfront.net data:; font-src ’self‘ *.walkme.com data:; connect-src ’self‘ *.walkme.com; frame-src ’self‘ *.walkme.com blob:; worker-src ’self‘ blob: *.walkme.com;

*.walkme.com-Adressen

Für Konten, die das US-/globale Datencenter verwenden:

  • https://playerserver.walkme.com
  • https://ec.walkme.com
  • https://cdn.walkme.com
  • https://papi.walkme.com
  • https://ec-playback.walkme.com
  • https://workstation.walkme.com

Für Konten, die das EU-Datencenter verwenden:

  • https://eu-playerserver.walkme.com
  • https://eu-ec.walkme.com
  • https://eu-cdn.walkme.com
  • https://eu-papi.walkme.com
  • https://eu-workstation.walkme.com

Zum Laden von WalkMe – selbstgehostet

Die CSP-Richtlinien, wenn der Kunde Self-hosted verwendet, sollten in Abhängigkeit von der bestehenden Konfiguration eingegrenzt werden, da die Skripte, Stile, Fonts, Bilder und Frames vom Ursprung und nicht von WalkMe geladen werden.

Bestätigen von CSP-Problemen

Wenn WalkMe nur in IE und Edge geladen werden kann, liegt das möglicherweise an Ihrer CSP. Überprüfen Sie, ob CSP-Fehler vorliegen, indem Sie die Entwicklertools öffnen und auf die Registerkarte „Console“ klicken. Nach dem Neuladen der Seite wird möglicherweise eine Fehlermeldung „Content Security Policy“ im Entwicklertool auf der Registerkarte „Console“ angezeigt.

In diesem Fall sollten Sie sich an Ihr IT-Team wenden und es bitten, die Domänen von WalkMe zu den entsprechenden Bereichen hinzuzufügen.

Wenn Ihr CSP-Meta-Tag unter dem HTML-Head-Tag Ihrer Website ist, kann dies auch das Laden von WalkMe verhindern. In dieser Situation sollten Sie Ihrem IT-Team die Fehlermeldung „Content Sicherheitsrichtlinie“ zur Verfügung stellen, die Sie im Entwicklertool gefunden haben, damit sie das Problem lösen können.

War dies hilfreich?

Vielen Dank für Ihr Feedback!

Be part of something bigger.

Engage with peers, ask questions, share ideas

Ask the Community
×

Wählen Sie Kontotyp

Beenden
< Zurück

Mobile account login

< Zurück