Garanta que sua Política de Segurança de Conteúdo seja compatível com os recursos do Cloudflare, como Rocket Loader, Mirage, Aplicativos, Scrape Shield e Browser Insights.

Visão geral

A Política de Segurança de Conteúdo (CSP) aprova as origens de conteúdo carregadas por um navegador da web. Uma CSP configurada corretamente protege contra:

• injeção de conteúdo/código;
• script entre sites (XSS);
• incorporação de recursos mal-intencionados; e
• iframes mal-intencionados (clickjacking).

A CDN da Cloudflare é compatível com a CSP e não modifica os cabeçalhos CSP do servidor web de origem. O Cloudflare não exige alterações às fontes aceitáveis do conteúdo do seu site ou de terceiros usadas pelo seu site. O Cloudflare não modifica nenhum URL e não interfere nos locais especificados na sua CSP.

Compatibilidade da CSP com funcionalidades do Cloudflare

Para utilizar corretamente determinadas funcionalidades do Cloudflare, atualize os cabeçalhos da CSP:

• Rocket Loader:

script-src 'self' ajax.cloudflare.com;

• Mirage:

script-src 'self' ajax.cloudflare.com;

• O Cloudflare Apps ou o Scrape Shield adiciona código e scripts ao seu domínio:

script-src 'self' 'unsafe-inline'

• Browser Insights:

script-src 'self' static.cloudflareinsights.com;

Recursos relacionados

Consulte os guias abaixo para escrever CSPs compatíveis com vários navegadores:

• Mozilla  
• W3C
• Extensões CSP para o Chrome
• CSP para aplicativos do Chrome
• Microsoft Edge