CSP

Atenção

Essa configuração é obrigatória

Para que nossos produtos funcionem corretamente no seu site, é necessário garantir que os recursos carregados e as comunicações realizadas com nossos serviços não sejam bloqueados por políticas de segurança do navegador.

Caso o seu site utilize CSP (Content Security Policy), é imprescindível configurar as diretivas adequadas conforme descrito abaixo.

Configuração ideal

A forma recomendada e mais simples de configuração é permitir nossos domínios utilizando a diretiva default-src.

Essa abordagem garante compatibilidade com todos os nossos produtos atuais e futuros, evitando ajustes recorrentes na política de segurança.

Content-Security-Policy:
  default-src https://*.etagdigital.com;

Por que usar `default-src`?

Nossos produtos utilizam múltiplos tipos de recursos, incluindo:

Scripts JavaScript
Requisições HTTPS (coleta e envio de dados)
Imagens e mídias
Service Workers

Limitar a permissão apenas a script-src não é suficiente, pois outras diretivas como connect-src, img-src e worker-src também são utilizadas. Por isso, o uso de default-src é o cenário mais seguro, estável e recomendado.

Configuração alternativa (cenário restritivo)

Alguns clientes, especialmente com políticas internas mais rigorosas de segurança e compliance, não permitem o uso de wildcard (*) em CSP.

Nesses casos - não ideais, porém suportados - é possível configurar permissões explícitas por diretiva.

Importante

As diretivas e domínios necessários podem variar de acordo com os produtos contratados. A lista abaixo representa o conjunto mínimo que precisa ser liberado.

`script-src`

Permite o carregamento de scripts JavaScript (SmartTag, scripts customizados, etc.).

script-src
  https://smarttag.etagdigital.com
  https://cdn.jazz.etagdigital.com;

Inclui também:

script-src-elem
script-src-attr

`connect-src`

Permite a comunicação do site do cliente com nossos servidores (envio de dados capturados, tracking comportamental, monitoramentos, etc.).

connect-src
  https://cdn.jazz.etagdigital.com
  https://capture.etagdigital.com
  https://tracking.etagdigital.com;

`img-src`

Permite o carregamento de imagens a partir do nosso CDN.

img-src
  https://cdn.jazz.etagdigital.com;

`media-src`

Permite o carregamento de mídias (ex.: vídeos, áudios).

media-src
  https://cdn.jazz.etagdigital.com;

`worker-src`

Permite o uso de Service Workers necessários para alguns modulos Etag (Service Worker).

worker-src
  https://cdn.jazz.etagdigital.com;

Observações finais

Sempre que possível, priorize a configuração recomendada com default-src.
A configuração restritiva exige manutenção contínua caso novos produtos ou funcionalidades sejam ativados.
Em caso de dúvidas ou necessidade de validação da política CSP, nosso time técnico está disponível para auxiliar.

Configuração ideal​

Por que usar default-src?​

Configuração alternativa (cenário restritivo)​

script-src​

connect-src​

img-src​

media-src​

worker-src​

Observações finais​