Les politiques de sécurité du contenu (CSP) sont envoyées en tant qu'en-tête au navigateur de vos utilisateurs par votre serveur web. Elles sont utilisées pour déclarer quelles ressources dynamiques sont autorisées à se charger sur votre page.
Pour de nombreux sites web, cela implique souvent de déclarer que seuls les scripts et les styles de votre propre domaine et de ceux des outils que vous utilisez sont autorisés. Cependant, cela peut devenir plus complexe lorsque des configurations complexes sont en jeu.
Si vous identifiez des erreurs CSP sur votre site similaires à celles indiquées ci-dessous, votre équipe de développement ou votre fournisseur d'hébergement devra ajuster vos paramètres CSP.
Ajuster vos paramètres CSP
Vérifiez s'il y a des erreurs CSP.
Si vous rencontrez des problèmes de collecte de données et de capture de sessions dans Hotjar, cela peut parfois être causé par une erreur CSP. Vous pouvez vérifier la console de développement de votre navigateur pour ces erreurs. Vous pouvez apprendre comment ouvrir la console en suivant les étapes de ce guide.
En cas de problème de politique de sécurité du contenu, vous verrez une erreur similaire à celle ci-dessous :
Consultez votre développeur web ou votre fournisseur d'hébergement pour ajuster les paramètres CSP.
Étant donné que tous les serveurs sont différents, l'équipe de support de Hotjar ne pourra pas vous aider à résoudre ces problèmes au-delà de l'identification d'une erreur CSP. Lorsque vous apportez des modifications à vos politiques de sécurité du contenu, la meilleure personne à contacter est votre développeur web, ou la personne qui gère votre site web.
Choisissez quels paramètres CSP ajuster.
Si vous utilisez une CSP par défaut, ajouter ce qui suit à vos règles default-src sera suffisant.
Les "..." dans les exemples ci-dessous sont des espaces réservés pour d'éventuelles règles existantes que vous pourriez avoir en place :
default-src ... https://*.hotjar.com https://*.hotjar.io wss://*.hotjar.com 'unsafe-inline'
Si vous souhaitez des restrictions plus strictes, nous recommandons le modèle ci-dessous pour garantir que vos politiques seront plus adaptées à l'avenir alors que nous étendons nos services. Voici un exemple de ce à quoi cela ressemblerait :
img-src ... https://*.hotjar.com
script-src ... https://*.hotjar.com 'unsafe-inline'
connect-src ... https://*.hotjar.com https://*.hotjar.io wss://*.hotjar.com
font-src ... https://*.hotjar.com
style-src ... https://*.hotjar.com 'unsafe-inline'
Si vos CSP nécessitent plus de granularité, voici les autorisations de sécurité minimales absolues que vous devez ajouter à votre serveur web pour permettre à Hotjar de fonctionner correctement sur votre site :
img-src ... https://static.hotjar.com https://script.hotjar.com https://survey-images.hotjar.com
script-src ... https://static.hotjar.com https://script.hotjar.com 'unsafe-inline'
connect-src ... https://*.hotjar.com https://*.hotjar.io wss://*.hotjar.com
font-src ... https://script.hotjar.com
style-src ... https://static.hotjar.com https://script.hotjar.com 'unsafe-inline'