Saltar al contenido principal

Ayuda Docebo

¿Cómo podemos ayudarle?

Configuración de la Política de Seguridad de Contenidos (CSP) de la plataforma

Última actualización
Docebo module
Tiempo de lectura
Nivel de usuario
  • Administrators

Exención de responsabilidad para la versión “sandbox”: Parte del contenido de este artículo define cómo usar funcionalidades que se lanzarán al público para todos los clientes a finales de enero de 2026. Si detecta diferencias entre este artículo y su plataforma, contacte con su representante de Docebo para saber cómo obtenerlas. Más información sobre el ciclo de lanzamientos.

Presentación

Para reforzar la seguridad de su plataforma, puede activar los encabezados de la Política de Seguridad de Contenidos (CSP).

La CSP ayuda a impedir que se ejecuten scripts maliciosos controlando qué fuentes tienen permitido cargar y ejecutar JavaScript en su entorno.

Esta función es opcional y debe activarse manualmente en la configuración. Le recomendamos encarecidamente que la active para mejorar la seguridad general de su plataforma.

Habilitar encabezados CSP

Para habilitar y configurar los encabezados de la CSP:

  1. Vaya a Menú de administrador > CONFIGURACIÓN > Ajustes avanzados.
  2. En el panel de navegación izquierdo, seleccione Opciones avanzadas.
  3. Baje hasta la sección Relacionado con seguridad y localice Encabezados CSP.
  4. Seleccione la casilla de verificación Bloquear fuentes de JavaScript externas excepto para los sitios en la lista de autorizados.
  5. En la Lista de autorizados de fuentes externas de JavaScript, introduzca las URL de los dominios de confianza a los que se permite cargar JavaScript.
    • Puede añadir hasta 5 URL.
    • Se admiten comodines (por ejemplo, https://*.force.com).
  6. Haga clic en Guardar para aplicar los cambios.
Área Encabezados CSP

Cómo funcionan los encabezados CSP

Scripts externos

Los scripts cargados desde fuentes externas (como CDN) solo se ejecutarán si su dominio está incluido en su lista de autorizados.

Cualquier script de fuentes no incluidas en la lista será bloqueado automáticamente.

Scripts en línea

Los scripts en línea (JavaScript escrito directamente en HTML) seguirán funcionando con un nonce de seguridad: un token único de un solo uso que se añade automáticamente a la página. Esto garantiza que los scripts en línea sean de confianza y se ejecuten de forma segura.

A tener en cuenta: Si un script en línea carga dinámicamente scripts adicionales, esos scripts deben bien:
- Cargarse desde un dominio de la lista de autorizados, o
- Heredar el mismo nonce de seguridad (consulte el capítulo Propagar el nonce de seguridad)

Propagar el nonce de seguridad

Si su script en línea crea nuevos elementos <script> dinámicamente, necesitará actualizar su código para propagar el nonce. A continuación se muestra un ejemplo de cómo modificar el script para que sea compatible.

Script original:

const script = document.createElement('script');
script.setAttribute('src','SOME_SCRIPT_URL');
document.querySelector('head').appendChild(script);

Script actualizado con soporte para el nonce:

const script = document.createElement('script');
script.setAttribute('src','SOME_SCRIPT_URL');
if (document.currentScript.nonce) {
  script.setAttribute('nonce', document.currentScript.nonce);
}
document.querySelector('head').appendChild(script);

Esto asegura que el script cargado de forma dinámica también sea de confianza y se permita su ejecución en su configuración de CSP.