Las Políticas de Seguridad de Contenidos (CSP) son entregadas como una cabecera al navegador de sus usuarios por su servidor web. Se utilizan para declarar qué recursos dinámicos pueden cargarse en la página.
Para muchos sitios web, esto suele implicar declarar que sólo se permiten scripts y estilos de su propio dominio y de cualquier herramienta que esté utilizando. Sin embargo, esto puede complicarse cuando se trata de configuraciones complejas.
Si detecta errores de CSP en su sitio similares a los que se muestran a continuación, su equipo de desarrollo o proveedor de alojamiento deberá ajustar la configuración de CSP.
Ajuste de la configuración CSP
Compruebe si hay errores de CSP.
Si tiene problemas con la recopilación de datos y la captura de sesiones en Hotjar, a veces puede deberse a un error de CSP. Puedes comprobar la consola de desarrollador de tu navegador para estos errores. Puedes aprender a abrir la consola siguiendo los pasos de esta guía.
Si hay un problema de Política de Seguridad de Contenidos, verás algo similar al error de abajo:
Consulte con su desarrollador web o proveedor de alojamiento para ajustar la configuración de CSP.
Dado que todos los servidores son diferentes, el equipo de soporte de Hotjar no podrá ayudar a solucionar estos problemas más allá de identificar si hay un error CSP. Cuando realice cambios en sus Políticas de Seguridad de Contenidos, la mejor persona a la que puede dirigirse es su desarrollador web o quien gestione su sitio web.
Elija qué configuración de CSP desea ajustar.
Si está utilizando una CSP por defecto, será suficiente con añadir lo siguiente a sus reglas default-src.
El "..." en los ejemplos de abajo es un marcador de posición para cualquier regla existente que pueda tener en su lugar:
default-src ... https://*.hotjar.com https://*.hotjar.io wss://*.hotjar.com 'unsafe-inline'
Si desea restricciones más estrictas, le recomendamos la siguiente plantilla para garantizar que sus políticas estén más preparadas para el futuro a medida que ampliemos nuestros servicios. He aquí un ejemplo de cómo quedaría:
img-src ... https://*.hotjar.com
script-src ... https://*.hotjar.com 'unsafe-inline'
connect-src ... https://*.hotjar.com https://*.hotjar.io wss://*.hotjar.com
font-src ... https://*.hotjar.com
style-src ... https://*.hotjar.com 'unsafe-inline'
Si sus CSPs requieren más granularidad, entonces aquí están los permisos de seguridad mínimos absolutos que necesita añadir a su servidor web para permitir que Hotjar funcione correctamente en su sitio:
img-src ... https://static.hotjar.com https://script.hotjar.com
script-src ... https://static.hotjar.com https://script.hotjar.com 'unsafe-inline'
connect-src ... https://*.hotjar.com https://*.hotjar.io wss://*.hotjar.com
font-src ... https://script.hotjar.com
style-src ... https://static.hotjar.com https://script.hotjar.com 'unsafe-inline'