内容安全策略 （CSP） 配置

什么是内容安全策略？

内容安全策略 （CSP） 是一个 HTTP 响应标头，可帮助保护网店免受跨站点脚本 （XSS） 和其他代码注入攻击。使用 CSP，可以控制浏览器可以在页面上加载哪些脚本、样式、图像和其他资源。

为网店配置 CSP 标头时，浏览器会通过阻止与指定规则不匹配的任何内容来强制执行这些策略。

客户对 CSP 的责任

CSP 配置是您作为 B2C Commerce 客户的责任。Salesforce 不会代表您管理或配置 CSP。您可以控制哪些脚本、样式和其他资源可以在您的网店中加载。您必须确保您的 CSP 配置允许执行所有必要的脚本，包括 Salesforce 提供的脚本和任何第三方集成。如果 CSP 限制性太强，它可能会阻止网店正常运行所需的脚本。

需要考虑 CSP 的脚本

配置 CSP 时，请确保策略允许以下类型的脚本：

• Salesforce 分析脚本 — 提供跟踪和分析功能的脚本，例如 dwanalytics 。
• 内联脚本 — 直接嵌入到 HTML 页面中的脚本，是网店功能所需的。
• Einstein 脚本 — 支持 Einstein 推荐、预测排序和其他个性化功能的脚本。

排查 CSP 问题

如果网店功能未按预期工作，则 CSP 限制可能会阻止所需的脚本。若要诊断 CSP 问题，请打开浏览器的开发人员工具，并检查“控制台”选项卡中是否存在 CSP 违规错误。然后查看错误消息，以确定哪些脚本或资源被阻止。最后，更新 CSP 配置以允许被阻止的资源。

与开发团队合作，查看和调整 CSP 设置，以允许所有必需的脚本，同时保持适当的安全保护。