Passer au contenu principal

Utilisation de Fin Messenger avec la politique de sécurité du contenu

Les domaines que vous devrez autoriser dans votre CSP ou pare-feu.

Si votre site web met en œuvre une politique de sécurité du contenu (CSP), vous devrez vous assurer qu'elle autorise les ressources nécessaires au bon chargement de Fin Messenger. La CSP est une couche de sécurité supplémentaire qui aide à détecter et à atténuer certains types d'attaques, notamment les attaques Cross Site Scripting (XSS) et les injections de données.

Voici les directives et valeurs que vous devez inclure dans votre politique pour garantir le bon fonctionnement de Fin Messenger sur votre produit et site web.

Directives CSP requises

Fin Messenger prend entièrement en charge Google strict CSPv3 :

Content-Security-Policy:
  object-src 'none';
  script-src 'nonce-{random}' 'unsafe-inline' 'unsafe-eval' 'strict-dynamic' https: http:;
  base-uri 'self';

Si vous appliquez déjà cette politique sur votre site, vous n'avez pas besoin de faire de modifications. Notez également que vous devrez inclure certaines sources nonce pour certains scripts chargés par Fin Messenger. Vous pouvez consulter ce tutoriel pour toute aide concernant la gestion des nonces.

Liste blanche des sources

Si vous préférez vous appuyer sur une liste blanche des sources (par exemple si vous ne pouvez pas utiliser les fonctionnalités CSPv2 ou v3), voici les directives pertinentes que vous devrez utiliser :

script-src:
  https://app.intercom.io
  https://widget.intercom.io
  https://js.intercomcdn.com

Si vous appliquez d'autres directives CSP, vous devrez ajouter les entrées suivantes pour que Fin Messenger fonctionne correctement :

Note : Les domaines CDN régionaux listés ci-dessous doivent uniquement être ajoutés pour la région d'hébergement de votre espace de travail. Par exemple, un espace de travail hébergé aux États-Unis nécessite https://uploads.intercomcdn.com mais pas https://uploads.intercomcdn.eu ni https://uploads.au.intercomcdn.com. Il en va de même pour les autres domaines spécifiques à une région (par exemple, downloads.*, messenger-apps.*, static.intercomassets.* et intercom-attachments.*). Si vous ne connaissez pas votre région d'hébergement, vérifiez les paramètres de votre espace de travail.

connect-src:
  https://via.intercom.io
  https://api.intercom.io
  https://api.au.intercom.io
  https://api.eu.intercom.io
  https://api-iam.intercom.io
  https://api-iam.eu.intercom.io
  https://api-iam.au.intercom.io 
  https://api-ping.intercom.io
  https://*.intercom-messenger.com
  wss://*.intercom-messenger.com
  https://nexus-websocket-a.intercom.io
  wss://nexus-websocket-a.intercom.io
  https://nexus-websocket-b.intercom.io
  wss://nexus-websocket-b.intercom.io
  https://nexus-europe-websocket.intercom.io 
  wss://nexus-europe-websocket.intercom.io 
  https://nexus-australia-websocket.intercom.io
  wss://nexus-australia-websocket.intercom.io 
  https://uploads.intercomcdn.com
  https://uploads.intercomcdn.eu 
  https://uploads.au.intercomcdn.com 
  https://uploads.eu.intercomcdn.com
  https://uploads.intercomusercontent.com
 
child-src:
  https://intercom-sheets.com
  https://www.intercom-reporting.com 
  https://www.youtube.com
  https://player.vimeo.com
  https://fast.wistia.net

font-src:
  https://js.intercomcdn.com
  https://fonts.intercomcdn.com

form-action:
  https://intercom.help
  https://api-iam.intercom.io
  https://api-iam.eu.intercom.io
  https://api-iam.au.intercom.io 

media-src:
  https://js.intercomcdn.com
  https://downloads.intercomcdn.com
  https://downloads.intercomcdn.eu
  https://downloads.au.intercomcdn.com

img-src:
  blob:
  data:
  https://js.intercomcdn.com
  https://static.intercomassets.com
  https://downloads.intercomcdn.com
  https://downloads.intercomcdn.eu
  https://downloads.au.intercomcdn.com
  https://uploads.intercomusercontent.com
  https://gifs.intercomcdn.com 
  https://video-messages.intercomcdn.com
  https://messenger-apps.intercom.io
  https://messenger-apps.eu.intercom.io
  https://messenger-apps.au.intercom.io
  https://*.intercom-attachments-1.com
  https://*.intercom-attachments.eu
  https://*.au.intercom-attachments.com
  https://*.intercom-attachments-2.com
  https://*.intercom-attachments-3.com
  https://*.intercom-attachments-4.com
  https://*.intercom-attachments-5.com
  https://*.intercom-attachments-6.com
  https://*.intercom-attachments-7.com
  https://*.intercom-attachments-8.com
  https://*.intercom-attachments-9.com
  https://static.intercomassets.eu
  https://static.au.intercomassets.com
  
style-src:
  'unsafe-inline'


De plus, si votre service ne supporte que CSPv3, vous devrez utiliser deux entrées distinctes pour frame-src et worker-src à la place de child-src, car ce mot-clé est en cours de dépréciation.

Note :

  • Les entrées ci-dessus sont nécessaires pour que la fonctionnalité de Fin Messenger fonctionne correctement dans votre application. Certaines intégrations dans notre App Store peuvent également nécessiter que vous ajoutiez d'autres entrées à votre CSP. Dans ce cas, un message d'erreur apparaîtra dans la console développeur de votre navigateur.

  • https://*.intercom-messenger.com et wss://*.intercom-messenger.com ont été ajoutés à la directive connect-src pour permettre une infrastructure plus large et évolutive pour la communication en temps réel dans Fin Messenger. Ces entrées génériques sont nécessaires pour supporter la mise à niveau et garantir que le messenger peut se connecter dynamiquement à plusieurs points de terminaison en temps réel.

Pare-feux

Beaucoup des domaines ci-dessus devront également être autorisés dans les paramètres de votre pare-feu pour permettre le bon fonctionnement de Fin Messenger.

Avez-vous trouvé la réponse à votre question ?