Las Políticas de Seguridad de Contenido (CSP) se envían como encabezado al navegador de sus usuarios por su servidor web. Se utilizan para declarar qué recursos dinámicos están permitidos cargar en su página.
Para muchos sitios web, esto a menudo implica declarar que solo se permiten scripts y estilos de su propio dominio y el de las herramientas que está utilizando. Sin embargo, esto puede volverse más complicado cuando se utilizan configuraciones complejas.
Si identifica errores de CSP en su sitio similares a los que se muestran a continuación, su equipo de desarrollo o proveedor de alojamiento deberá ajustar la configuración de su CSP.
Ajustar la configuración de su CSP
Verifique si hay errores de CSP.
Si está experimentando problemas con la recopilación de datos y la captura de sesiones en Hotjar, esto a veces puede ser causado por un error de CSP. Puede verificar la consola de desarrollo de su navegador en busca de estos errores. Puede aprender cómo abrir la consola siguiendo los pasos en esta guía.
Si hay un problema de Política de Seguridad de Contenido, verá algo similar al error a continuación:
Consulte con su desarrollador web o proveedor de alojamiento para ajustar la configuración de CSP.
Dado que todos los servidores son diferentes, el equipo de Soporte de Hotjar no podrá ayudar a solucionar estos problemas más allá de identificar si hay un error de CSP. Al realizar cambios en sus Políticas de Seguridad de Contenido, la mejor persona a la que puede recurrir es su desarrollador web o quien administre su sitio web.
Elija qué ajustes de CSP realizar.
Si está utilizando un CSP predeterminado, agregar lo siguiente a sus reglas de default-src será suficiente.
El "..." en los ejemplos a continuación es un marcador de posición para cualquier regla existente que pueda tener en su lugar:
default-src ... https://*.hotjar.com https://*.hotjar.io wss://*.hotjar.com 'unsafe-inline'
Si desea restricciones más estrictas, recomendamos la plantilla a continuación para asegurar que sus políticas sean más a prueba de futuro a medida que expandimos nuestros servicios. Aquí hay un ejemplo de cómo se vería eso:
img-src ... https://*.hotjar.com
script-src ... https://*.hotjar.com 'unsafe-inline'
connect-src ... https://*.hotjar.com https://*.hotjar.io wss://*.hotjar.com
font-src ... https://*.hotjar.com
style-src ... https://*.hotjar.com 'unsafe-inline'
Si sus CSP requieren más granularidad, aquí están las concesiones mínimas de seguridad absolutas que necesita agregar a su servidor web para permitir que Hotjar funcione correctamente en su sitio:
img-src ... https://static.hotjar.com https://script.hotjar.com https://survey-images.hotjar.com
script-src ... https://static.hotjar.com https://script.hotjar.com 'unsafe-inline'
connect-src ... https://*.hotjar.com https://*.hotjar.io wss://*.hotjar.com
font-src ... https://script.hotjar.com
style-src ... https://static.hotjar.com https://script.hotjar.com 'unsafe-inline'