Saltar al contenido principal
Content Security Policy (CSP) es un estándar de seguridad que ayuda a prevenir ataques de cross-site scripting (XSS) controlando qué recursos puede cargar una página web. Mintlify proporciona una CSP predeterminada que protege a la mayoría de los sitios. Si alojas tu documentación detrás de un proxy inverso o un cortafuegos que sobrescribe la CSP predeterminada, puede que necesites configurar encabezados CSP para que las funciones se ejecuten correctamente.

Directivas CSP

Las siguientes directivas de CSP controlan qué recursos puede cargar una página:
  • script-src: Controla qué scripts pueden ejecutarse
  • style-src: Controla qué hojas de estilo pueden cargarse
  • font-src: Controla qué fuentes pueden cargarse
  • img-src: Controla qué imágenes, iconos y logotipos pueden cargarse
  • connect-src: Controla a qué URL pueden conectarse para llamadas a la API y conexiones WebSocket
  • frame-src: Controla qué URL pueden incrustarse en frames o iframes
  • default-src: Valor predeterminado para otras directivas cuando no se establece explícitamente

Lista de dominios permitidos

Ejemplo de configuración de CSP

Incluye solo los domains de los servicios que usas. Elimina cualquier domain de Analytics que no hayas configurado para tu documentación.

Configuraciones comunes por tipo de proxy

La mayoría de los servidores proxy inversos permiten agregar encabezados personalizados.

Configuración de Cloudflare

Crea una regla de transformación de encabezados de respuesta:
  1. En tu dashboard de Cloudflare, ve a Rules > Overview.
  2. Selecciona Create rule > Response Header Transform Rule.
  3. Configura la regla:
  • Modify response header: Set static
    • Header name: Content-Security-Policy
    • Header value:
  1. Publica la regla.

Configuración de AWS CloudFront

Agrega una política de encabezados de respuesta en CloudFront:

Configuración de Vercel

Agrega en tu vercel.json:

Solución de problemas

Identifica infracciones de la CSP en la consola de tu navegador:
  1. Abre las herramientas de desarrollador de tu navegador.
  2. Ve a la pestaña Console.
  3. Busca errores que empiecen por:
    • Content Security Policy: The page's settings blocked the loading of a resource
    • Refused to load the script/stylesheet because it violates the following Content Security Policy directive
    • Refused to connect to because it violates the following Content Security Policy directive