Politique de sécurité du contenu WalkMe

Last Updated décembre 21, 2023

Aperçu général

Une politique de sécurité du contenu (CSP) est une méthode de spécification des domaines à partir desquels les types de contenu spécifiques sont autorisés à être chargés. Cela est créé par les propriétaires du site Web, et n’est pertinent que pour les navigateurs qui ne sont pas IE ou Edge.

La CSP permet d’approuver le contenu provenant de sources en dehors d’une politique sur votre site Web. C’est différent d’une liste générale qu’un client donne à l’utilisateur pour permettre d’accéder à certains sites Web dans leur organisation ; avec la CSP, il n’est important de savoir de quelle organisation ou de quel ordinateur vous accédez à un site, si vous êtes sur Chrome, FireFox, ou Safari, vous serez toujours bloqué par la restriction.

Cela impacte WalkMe car il y a des sites qui ont configuré une CSP qui n’inclut pas WalkMe et qui par conséquent, empêcheront WalkMe de charger des scripts.

Plus d’informations sur la CSP peuvent être trouvées ici >>

Veuillez suivre ces instructions pour voir ce qu’est le CSP d’un site :

  1. Allez sur l’onglet Réseau
  2. Cliquez sur la demande de la page principale (probablement la première demande)
  3. Le CSP sera répertorié sous « content-security-policy » dans l’onglet En-têtes

Plongeon technique en profondeur

Une CSP peut spécifier exactement quelles sources sont autorisées pour exactement quels types de contenu.

Certains exemples de type de contenu sont :

Javascript → script-src

CSS → style-src

Images → img-src

Par défault (La valeur par défault sera utilisée si un type de contenu n’est pas spécifié) → default-src

Si une source n’est pas définie dans la CSP et qu’il n’y a aucune spécification par défaut, toutes les sources seront autorisées pour ce type.

Pour que WalkMe soit en mesure de charger – SaaS

Si WalkMe est bloqué par votre CSP, ses fichiers ne seront pas chargés et votre contenu n’apparaîtra pas. Pour faire en sorte que WalkMe soit en mesure de charger sur un site avec une CSP, les domaines WalkMe doivent être ajoutés à la politique dans les bonnes sections.

Directive Source Description et utilisation Exemple
script-src ‘unsafe-inline’ *.walkme.com
  1. Définit les sources valides de JavaScript (bibliothèque WalkMe, lecteur WalkMe)
  2. Chargement et rendu des éléments dynamiques à l’écran
ShoutOuts, Menu WalkMe
style-src ‘unsafe-inline’ *.walkme.com
  1. Définit les sources valides de stylesheets
  2. Utiliser les attributs de style dans un élément HTML
Étapes des Smart Walk-Thrus (<div style= »… »>)
frame-src ‘self’ *.walkme.com Définit les sources valides pour le chargement des cadres Passez aux étapes, iFrame dans une étape
frame-ancestor *.walkme.com Utilisé pour encadrer les ressources provenant des domaines WalkMe Ressources dans une lightbox
font-src

‘self’

data:

*.walkme.com Utilisé pour télécharger la police WalkMe à partir du serveur WalkMe Menu WalkMe et police Widget
img-src

‘self’

data:

*.walkme.com Le collecteur WalkMe Events insère l’image (pixel) pour capturer l’élément « visible » de l’événement Images et Resources
s3.walkmeusercontent.com
d3sbxpiag177w8.cloudfront.net
connect-src ‘self’ *.walkme.com Envoyez une XMLHttpRequest sur WalkMe à l’utilisateur final de l’événement Insights, Goals, Tasks, TeachMe, Onboarding, Actionbot
worker-src blob *.walkme.com Utilisé pour envoyer les événements en utilisant un Worker Relecture de session
object-src *.walkme.com Relecture de session
Politique de sécurité du contenu : script-src ‘self’ *.walkme.com ‘unsafe-inline’; style-src ‘self’ *.walkme.com ‘unsafe-inline’; img-src ‘self’ *.walkme.com s3.walkmeusercontent.com d3sbxpiag177w8.cloudfront.net data:; font-src ‘self’ *.walkme.com data:; connect-src ‘self’ *.walkme.com; frame-src ‘self’ *.walkme.com blob:; worker-src ‘self’ blob: *.walkme.com;

*.walkme.com addresses

Pour les comptes utilisant le Centre de données américain / mondial :

  • https://playerserver.walkme.com
  • https://ec.walkme.com
  • https://cdn.walkme.com
  • https://papi.walkme.com
  • https://ec-playback.walkme.com
  • https://workstation.walkme.com

Pour les comptes utilisant le Centre de données de l’UE :

  • https://eu-playerserver.walkme.com
  • https://eu-ec.walkme.com
  • https://eu-cdn.walkme.com
  • https://eu-papi.walkme.com
  • https://eu-workstation.walkme.com

Pour que WalkMe soit en mesure de charger – Self Hosted

Les directives CSP lorsque le client utilise Self-hosted devraient être réduites en fonction de la configuration existante puisque les scripts, le style, la police, les images et les cadres sont chargés à partir de l’origine et non de WalkMe.

Confirmation des problèmes CSP

Si WalkMe ne charge aucun navigateur à l’exception de l’IE et de l’Edge, c’est peut-être dû à votre CSP. Vous pouvez vérifier les erreurs de CSP en ouvrant les outils de développement et en cliquant sur l’onglet Console. Après avoir rechargé la page, vous pouvez voir un message d’erreur « Content Security Policy » dans l’outil de développement, sous l’onglet Console.

C’est à ce moment que vous devez contacter votre équipe informatique et leur demander d’ajouter les domaines WalkMe aux sections concernées.

Si votre balise méta CSP est sous la balise d’en-tête HTML de votre site, cela peut également empêcher le chargement de WalkMe. Dans cette situation, vous devez fournir le message d’erreur « Politique de sécurité de contenu » que vous avez trouvé dans l’outil de développement à votre équipe informatique pour qu’ils puissent résoudre le problème.

Cet article a-t-il été utile?

Merci pour votre avis!

Be part of something bigger.

Engage with peers, ask questions, share ideas

Ask the Community
×

Sélectionnez le type de compte

Fermer
< Retour

Mobile account login

< Retour