Breve Visão Geral

Uma Política de Segurança de Conteúdo (CSP) permite que os proprietários de sites especifiquem quais domínios podem carregar tipos específicos de conteúdo. O CSP é relevante apenas para navegadores que não sejam IE.

O CSP funciona permitindo a lista de fontes aprovadas para o seu site, bloqueando qualquer conteúdo fora da política definida. Isso é diferente de uma lista de permissões geral que controla o acesso dentro de uma organização. Com o CSP, a restrição se aplica independentemente de quem você é ou do computador que você usa. Se você estiver no Chrome, Firefox ou Safari, a política se aplica.

O WalkMe é afetado quando o CSP de um site não inclui domínios do WalkMe, o que impede o carregamento de scripts.

Saiba mais sobre o CSP.

Para descobrir qual é o CSP de um site:

1. Abra a guia Rede nas Tools do Desenvolvedor
2. Selecione a solicitação de página principal (geralmente a primeira)
3. Encontre "content-security-policy" na guia Cabeçalhos

Análise técnica detalhada

Um CSP define quais fontes são permitidas para cada tipo de conteúdo. Tipos de conteúdo comuns e suas diretrizes:

• Javascript → script-src
• CSS → style-src
• Imagens → img-src
• Default (usado quando nenhuma regra específica do tipo é definida) → default-src

Se uma fonte não estiver definida no CSP e não houver padrão, todas as fontes serão permitidas para esse tipo.

Para que o WalkMe carregue - SaaS

Se o WalkMe for bloqueado pelo seu CSP, os arquivos não serão carregados e o conteúdo não aparecerá. Para corrigir isso, adicione os domínios do WalkMe às diretivas corretas na sua política.

• script-src — Usado para carregar e renderizar conteúdo dinâmico do WalkMe. Exemplos: ShoutOuts, Menu do WalkMe
• style-src — Usado para atributos de estilo em linha. Exemplos: etapas do Smart Walk-Thru
• frame-src — Usado para carregar quadros. Exemplos: Switch para Steps, iFrames dentro de uma etapa
• frame-ancestor — Usado para enquadrar recursos dos domínios do WalkMe. Exemplo: Recursos em um lightbox
• font-src — Usado para baixar fontes do WalkMe dos servidores do WalkMe. Exemplo: Menu do WalkMe e widget font
• img-src — Usado pelo coletor de eventos do WalkMe para inserir um pixel de imagem que captura eventos "vistos" de elementos. Exemplos: Imagens e recursos
• connect-src — Usado para enviar XMLHttpRequests para eventos de usuário final do WalkMe. Exemplos: Insights, Metas, Tarefas, TeachMe, Onboarding, ActionBot
• worker-src — Usado para enviar eventos usando um worker. Exemplo: Reprodução de sessão
• object-src — Exemplo: Reprodução de sessão

String completa do CSP

script-src 'self' *.walkme.com 'unsafe-inline'; style-src 'self' *.walkme.com 'unsafe-inline'; img-src 'self' *.walkme.com s3.walkmeusercontent.com d3sbxpiag177w8.cloudfront.net data:; font-src 'self' *.walkme.com data:; connect-src 'self' *.walkme.com; frame-src 'self' *.walkme.com blob:; worker-src 'self' blob: *.walkme.com; 

Endereços *.walkme.com

Para contas que usam o Centro de dados do WalkMe nos EUA:

• https://playerserver.walkme.com
• https://ec.walkme.com
• https://cdn.walkme.com
• https://papi.walkme.com
• https://ec-playback.walkme.com
• https://workstation.walkme.com

Para contas que usam o Centro de dados do WalkMe da UE:

• https://eu-playerserver.walkme.com
• https://eu-ec.walkme.com
• https://eu-cdn.walkme.com
• https://eu-papi.walkme.com
• https://eu-workstation.walkme.com

Para carregar do WalkMe - Auto-hospedado

Se você estiver usando uma configuração auto-hospedada, reduza suas diretivas do CSP com base na configuração existente. Scripts, estilos, fontes, imagens e quadros são carregados da origem, e não do WalkMe, portanto, nem todas as diretrizes listadas acima serão aplicadas.

Confirmando problemas com CSP

Se o WalkMe não estiver carregando em nenhum navegador, exceto o Edge, seu CSP pode estar bloqueando. Para verificar:

1. Abra Tools do Desenvolvedor e vá para a guia Console
2. Recarregue a página
3. Procure uma mensagem de erro "Política de segurança de conteúdo"

Se vir um, entre em contato com sua equipe de TI e peça para adicionar os domínios do WalkMe às diretivas relevantes.

Se a metatag CSP estiver na tag de <cabeça> do HTML do seu site, isso também pode bloquear o carregamento do WalkMe. Compartilhe a mensagem de erro "Política de segurança de conteúdo" da guia Console com sua equipe de TI para que ela possa resolvê-la.