Políticas de Segurança de Conteúdo (CSP) são entregues como um cabeçalho para o navegador dos seus usuários pelo seu servidor web. Elas são usadas para declarar quais recursos dinâmicos podem ser carregados na sua página.
Para muitos sites, isso geralmente envolve declarar que apenas scripts e estilos do seu próprio domínio e dos domínios das ferramentas que você está usando são permitidos. No entanto, isso pode se tornar mais complexo em configurações mais elaboradas.
Se você identificar erros de CSP no seu site semelhantes ao que é mostrado abaixo, então sua equipe de desenvolvimento ou provedor de hospedagem precisará ajustar suas configurações de CSP.
Ajustando suas configurações de CSP
Verifique se há erros de CSP.
Se você estiver enfrentando problemas com a coleta de dados e captura de sessões no Hotjar, isso às vezes pode ser causado por um erro de CSP. Você pode verificar o console de desenvolvedor do seu navegador em busca desses erros. Você pode aprender como abrir o console seguindo as etapas neste guia.
Se houver um problema de Política de Segurança de Conteúdo, você verá algo semelhante ao erro abaixo:
Consulte seu desenvolvedor web ou provedor de hospedagem para ajustar as configurações de CSP.
Como todos os servidores são diferentes, a equipe de suporte do Hotjar não poderá ajudar a solucionar esses problemas além de identificar se há um erro de CSP. Ao fazer alterações nas suas Políticas de Segurança de Conteúdo, a melhor pessoa para contatar é o seu desenvolvedor web, ou quem gerencia o seu site.
Escolha quais configurações de CSP ajustar.
Se você estiver usando um CSP padrão, adicionar o seguinte às suas regras de default-src será suficiente.
O "..." nos exemplos abaixo é um espaço reservado para quaisquer regras existentes que você possa ter:
default-src ... https://*.hotjar.com https://*.hotjar.io wss://*.hotjar.com 'unsafe-inline'Se você deseja restrições mais rígidas, recomendamos o modelo abaixo para garantir que suas políticas sejam mais à prova de futuro à medida que expandimos nossos serviços. Aqui está um exemplo de como isso ficaria:
img-src ... https://*.hotjar.com
script-src ... https://*.hotjar.com 'unsafe-inline'
connect-src ... https://*.hotjar.com https://*.hotjar.io wss://*.hotjar.com
font-src ... https://*.hotjar.com
style-src ... https://*.hotjar.com 'unsafe-inline'
Se suas CSPs exigirem mais granularidade, aqui estão as permissões mínimas de segurança que você precisa adicionar ao seu servidor web para permitir que o Hotjar funcione corretamente no seu site:
img-src ... https://static.hotjar.com https://script.hotjar.com https://survey-images.hotjar.com
script-src ... https://static.hotjar.com https://script.hotjar.com 'unsafe-inline'
connect-src ... https://*.hotjar.com https://*.hotjar.io wss://*.hotjar.com
font-src ... https://script.hotjar.com
style-src ... https://static.hotjar.com https://script.hotjar.com 'unsafe-inline'