Políticas de Segurança de Conteúdo (CSP) são entregues como um cabeçalho para o navegador dos seus usuários pelo seu servidor web. Elas são usadas para declarar quais recursos dinâmicos têm permissão para carregar na sua página.
Para muitos sites, isso geralmente envolve declarar que apenas scripts e estilos do seu próprio domínio e de quaisquer ferramentas que você está usando são permitidos. No entanto, isso pode se tornar mais complexo quando configurações mais complexas estão em jogo.
Se você identificar erros de CSP no seu site que são semelhantes ao que é mostrado abaixo, então sua equipe de desenvolvimento ou provedor de hospedagem precisará ajustar suas configurações de CSP.
Ajustando suas configurações de CSP
Verifique se há erros de CSP.
Se você está vendo problemas com a coleta de dados e captura de sessões no Hotjar, isso pode às vezes ser causado por um erro de CSP. Você pode verificar o console do desenvolvedor do seu navegador para esses erros. Você pode aprender como abrir o console seguindo os passos neste guia.
Se houver um problema de Política de Segurança de Conteúdo, você verá algo semelhante ao erro abaixo:
Consulte o seu desenvolvedor web ou provedor de hospedagem para ajustar as configurações de CSP.
Como todos os servidores são diferentes, a equipe de suporte do Hotjar não poderá ajudar a solucionar esses problemas além de identificar se há um erro de CSP. Ao fazer alterações em suas Políticas de Segurança de Conteúdo, a melhor pessoa para contatar é o seu desenvolvedor web, ou quem gerencia o seu site.
Escolha quais configurações de CSP ajustar.
Se você estiver usando uma CSP padrão, adicionar o abaixo às suas regras de default-src será suficiente.
O "..." nos exemplos abaixo é um espaço reservado para quaisquer regras existentes que você possa ter em vigor:
default-src ... https://*.hotjar.com https://*.hotjar.io wss://*.hotjar.com 'unsafe-inline'Se você quiser restrições mais rigorosas, recomendamos o modelo abaixo para garantir que suas políticas serão mais à prova de futuro à medida que expandimos nossos serviços. Aqui está um exemplo de como isso seria:
img-src ... https://*.hotjar.com
script-src ... https://*.hotjar.com 'unsafe-inline'
connect-src ... https://*.hotjar.com https://*.hotjar.io wss://*.hotjar.com
font-src ... https://*.hotjar.com
style-src ... https://*.hotjar.com 'unsafe-inline'
Se suas CSPs exigirem mais granularidade, aqui estão as permissões mínimas de segurança absolutas que você precisa adicionar ao seu servidor web para permitir que o Hotjar funcione corretamente no seu site:
img-src ... https://static.hotjar.com https://script.hotjar.com
script-src ... https://static.hotjar.com https://script.hotjar.com 'unsafe-inline'
connect-src ... https://*.hotjar.com https://*.hotjar.io wss://*.hotjar.com
font-src ... https://script.hotjar.com
style-src ... https://static.hotjar.com https://script.hotjar.com 'unsafe-inline'