Управление Content Security Policy (CSP)

Статья создана

Обновлена 30 марта 2026 г.

CSP — инструмент для предотвращения различных атак, таких как XSS (межсайтовый скриптинг), и других угроз безопасности.

Чтобы настроить политики CSP, добавьте соответствующие настройки в .yfm файл. Это позволит вам детально управлять разрешенными источниками для различных типов ресурсов.

Пример использования:

resources:
  csp:
    - "frame-src":
        - "https://test.site"

В данном примере мы разрешаем загружать фреймы только с https://test.site. Вы можете добавить свои собственные правила и источники, чтобы обеспечить соответствие безопасности именно для вашей документации.

Отключение CSP

Если CSP управляется внешним образом (например, через HTTP-заголовки сервера), можно полностью отключить добавление мета-тега CSP при сборке.

Через конфигурационный файл .yfm:

disableCsp: true

Или через CLI-аргумент:

yfm build --disable-csp -i ./input -o ./output

При включении этого параметра мета-тег <meta http-equiv="Content-Security-Policy"> не будет добавляться ни на одну страницу, включая страницы с подключёнными расширениями (например, neuroExpert).

Подробнее про CSP: https://content-security-policy.com/

Была ли статья полезна?

Source Docs

Настройка версионирования документации