Política de seguridad de contenido de WalkMe
Breve descripción general
Una Política de seguridad de contenido (CSP, por sus siglas en inglés) es un método para especificar dominios desde los que se permite cargar tipos específicos de contenido. Esto lo crean los propietarios del sitio web y solo es relevante para navegadores que no sean Internet Explorer.
CSP esencialmente permite incluir en la lista blanca tu sitio web para evitar que el contenido provenga de fuentes externas a una política. Esto es diferente de una lista blanca general que hace un cliente para permitir el acceso a ciertos sitios web dentro de su organización; con CSP, no importa de qué organización o desde qué computadora se accede a un sitio, si estás en Chrome, Firefox o Safari, seguirás teniendo la restricción.
Esto afecta a WalkMe porque hay sitios que han configurado un CSP que no incluye WalkMe y, por lo tanto, evitará que WalkMe cargue scripts.
Para más información sobre las CSP, entra aquí >>
Para ver cuál es el CSP de un sitio, sigue estas instrucciones:
- Ir a la pestaña Red
- Haz clic en la solicitud de la página principal (probablemente la primera solicitud)
- El CSP aparecerá en «content-security-policy» en la pestaña Encabezados
Análisis técnico detallado
Un CSP puede especificar, exactamente, qué fuentes son autorizadas para cada tipo de contenido.
Algunos ejemplos de tipos de contenido son:
Javascript → script-src
CSS → style-src
Images → img-src
Por defecto (se usará el valor predeterminado si no se especifica un tipo de contenido) → default-src
Si una fuente no está definida en el CSP y no hay una especificación por defecto, todas las fuentes estarán permitidas para ese tipo.
Para que WalkMe cargue - SaaS
Si WalkMe está bloqueado por tu CSP, los archivos no se cargarán y el contenido no aparecerá. Para que WalkMe cargue en un sitio con un CSP, los dominios de WalkMe deben añadirse a la política en las secciones correctas.
| Directiva | Fuente | Descripción y uso | Ejemplo | |
| script-src | 'unsafe-inline' | *.walkme.com |
|
ShoutOuts, Menú de WalkMe |
| style-src | 'unsafe-inline' | *.walkme.com |
|
Pasos Smart Walk-Thrus (<div style="...">) |
| frame-src | 'self' | *.walkme.com | Define fuentes válidas para cargar marcos | Cambiar a Pasos, iFrame dentro de un Paso |
| frame-ancestor | *.walkme.com | Se utiliza para enmarcar recursos procedentes de dominios de WalkMe | Recursos en cuadro de luz | |
| font-src |
'self' datos: |
*.walkme.com | Se utiliza para descargar la fuente WalkMe desde el servidor WalkMe | Menú de WalkMe y fuente del Widget |
| img-src |
'self' datos: |
*.walkme.com | El colector de Eventos de WalkMe inserta una imagen (píxel) para capturar el evento «visto» del elemento | Imágenes y recursos |
| s3.walkmeusercontent.com | ||||
| connect-src | 'self' | *.walkme.com | Enviar XMLHttpRequest sobre el evento activo de usuario final de WalkMe | Información, Objetivos, Tareas, TeachMe, OnBoarding, ActionBot |
| worker-src | blob | *.walkme.com | Se utiliza para enviar eventos utilizando un Worker | Reproducción de una sesión |
| object-src | *.walkme.com | Reproducción de una sesión | ||
| Política de seguridad de contenido: script-src 'self' *.walkme.com 'unsafe-inline'; style-src 'self' *.walkme.com 'unsafe-inline'; img-src 'self' *.walkme.com s3.walkmeusercontent.com d3sbxpiag177w8.cloudfront.net data:; font-src 'self' *.walkme.com data:; connect-src 'self' *.walkme.com; frame-src 'self' *.walkme.com blob:; worker-src 'self' blob: *.walkme.com; |
direcciones *.walkme.com
Para cuentas que utilizan el Centro de datos de Estados Unidos / Global:
- https://playerserver.walkme.com
- https://ec.walkme.com
- https://cdn.walkme.com
- https://papi.walkme.com
- https://ec-playback.walkme.com
- https://workstation.walkme.com
Para cuentas que utilizan el Centro de datos de la UE:
- https://eu-playerserver.walkme.com
- https://eu-ec.walkme.com
- https://eu-cdn.walkme.com
- https://eu-papi.walkme.com
- https://eu-workstation.walkme.com
Para que WalkMe cargue - Alojado por uno mismo
Las directivas CSP cuando el cliente utiliza Alojado por uno mismo deben reducirse según la configuración existente, ya que los scripts, el estilo, la fuente, las imágenes y los marcos se cargan desde el origen y no desde WalkMe.
Confirmación de problemas de CSP
Si WalkMe no se carga en ningún navegador, excepto en IE y Edge, puede deberse a tu CSP. Puedes comprobar si hay errores de CSP abriendo las Herramientas para desarrolladores y haciendo clic en la pestaña Consola. Después de volver a cargar la página, es posible que veas un mensaje de error «Política de seguridad de contenido» en las Herramientas de desarrollo, en la pestaña Consola.
Aquí es cuando debes ponerte en contacto con tu equipo de TI y pedirles que añadan los dominios de WalkMe a las secciones correspondientes.
Si la metaetiqueta CSP está bajo la etiqueta de encabezado HTML del sitio, esto también puede impedir que WalkMe se cargue. En esa situación, debes proporcionar el mensaje de error «Política de seguridad de contenido» que encontraste en las Herramientas para desarrolladores a tu equipo de TI para que puedan resolver el problema.