Saltar al contenido principal

Documentation Index

Fetch the complete documentation index at: https://mintlify-mintlify-agent-cursor-1777414560.mintlify.app/llms.txt

Use this file to discover all available pages before exploring further.

Content Security Policy (CSP) es un estándar de seguridad que ayuda a prevenir ataques de cross-site scripting (XSS) controlando qué recursos puede cargar una página web. Mintlify proporciona una CSP predeterminada que protege a la mayoría de los sitios. Si alojas tu documentación detrás de un proxy inverso o un cortafuegos que sobrescribe la CSP predeterminada, puede que necesites configurar encabezados CSP para que las funciones se ejecuten correctamente.

Directivas CSP

Las siguientes directivas de CSP controlan qué recursos puede cargar una página:
  • script-src: Controla qué scripts pueden ejecutarse
  • style-src: Controla qué hojas de estilo pueden cargarse
  • font-src: Controla qué fuentes pueden cargarse
  • img-src: Controla qué imágenes, iconos y logotipos pueden cargarse
  • connect-src: Controla a qué URL pueden conectarse para llamadas a la API y conexiones WebSocket
  • frame-src: Controla qué URL pueden incrustarse en frames o iframes
  • default-src: Valor predeterminado para otras directivas cuando no se establece explícitamente

Lista de dominios permitidos

DominioPropósitoDirectiva CSPObligatorio
d4tuoctqmanu0.cloudfront.netCSS y fuentes de KaTeXstyle-src, font-srcObligatorio
*.mintlify.devContenido de la documentaciónconnect-src, frame-srcObligatorio
*.mintlify.comDashboard, API, proxy de Analyticsconnect-srcObligatorio
leaves.mintlify.comAPI del assistantconnect-srcObligatorio
d3gk2c5xim1je2.cloudfront.netÍconos, imágenes, logotiposimg-srcObligatorio
d1ctpt7j8wusba.cloudfront.netArchivos de versiones y lanzamientos de Mintconnect-srcObligatorio
mintcdn.comImágenes, faviconsimg-src, connect-srcObligatorio
*.mintcdn.comImágenes, faviconsimg-src, connect-srcObligatorio
cdn.jsdelivr.netRecursos de emojis para imágenes OGscript-src, img-srcObligatorio
mintlify.s3.us-west-1.amazonaws.comImágenes alojadas en S3img-srcObligatorio
hcaptcha.comVerificación CAPTCHA de hCaptchascript-src, frame-src, style-src, connect-src, unsafe-eval, unsafe-inlineObligatorio
*.hcaptcha.comVerificación CAPTCHA de hCaptchascript-src, frame-src, style-src, connect-src, unsafe-eval, unsafe-inlineObligatorio
fonts.googleapis.comGoogle Fontsstyle-src, font-srcOpcional
www.googletagmanager.comGoogle Analytics/Google Tag Manager (GTM)script-src, connect-srcOpcional
cdn.segment.comSegment Analyticsscript-src, connect-srcOpcional
plausible.ioPlausible Analyticsscript-src, connect-srcOpcional
us.posthog.comPostHog Analyticsconnect-srcOpcional
tag.clearbitscripts.comSeguimiento de Clearbitscript-srcOpcional
cdn.heapanalytics.comHeap Analyticsscript-srcOpcional
chat.cdn-plain.comWidget de chat de Plainscript-srcOpcional
chat-assets.frontapp.comWidget de chat de Frontscript-srcOpcional
browser.sentry-cdn.comSeguimiento de errores con Sentryscript-src, connect-srcOpcional
js.sentry-cdn.comSDK de JavaScript de Sentryscript-srcOpcional

Ejemplo de configuración de CSP

Incluye solo los domains de los servicios que usas. Elimina cualquier domain de Analytics que no hayas configurado para tu documentación.
Content-Security-Policy:
default-src 'self';
script-src 'self' 'unsafe-inline' 'unsafe-eval' cdn.jsdelivr.net www.googletagmanager.com cdn.segment.com plausible.io
us.posthog.com tag.clearbitscripts.com cdn.heapanalytics.com chat.cdn-plain.com chat-assets.frontapp.com
browser.sentry-cdn.com js.sentry-cdn.com hcaptcha.com *.hcaptcha.com;
style-src 'self' 'unsafe-inline' d4tuoctqmanu0.cloudfront.net fonts.googleapis.com hcaptcha.com *.hcaptcha.com;
font-src 'self' d4tuoctqmanu0.cloudfront.net fonts.googleapis.com;
img-src 'self' data: blob: d3gk2c5xim1je2.cloudfront.net mintcdn.com *.mintcdn.com cdn.jsdelivr.net mintlify.s3.us-west-1.amazonaws.com;
connect-src 'self' *.mintlify.dev *.mintlify.com d1ctpt7j8wusba.cloudfront.net mintcdn.com *.mintcdn.com
www.googletagmanager.com cdn.segment.com plausible.io us.posthog.com browser.sentry-cdn.com hcaptcha.com *.hcaptcha.com;
frame-src 'self' *.mintlify.dev hcaptcha.com *.hcaptcha.com;

Configuraciones comunes por tipo de proxy

La mayoría de los servidores proxy inversos permiten agregar encabezados personalizados.

Configuración de Cloudflare

Crea una regla de transformación de encabezados de respuesta:
  1. En tu dashboard de Cloudflare, ve a Rules > Overview.
  2. Selecciona Create rule > Response Header Transform Rule.
  3. Configura la regla:
  • Modify response header: Set static
    • Header name: Content-Security-Policy
    • Header value: 
      default-src 'self'; script-src 'self' 'unsafe-inline' 'unsafe-eval' cdn.jsdelivr.net hcaptcha.com *.hcaptcha.com; style-src 'self' 'unsafe-inline' d4tuoctqmanu0.cloudfront.net fonts.googleapis.com hcaptcha.com *.hcaptcha.com; font-src 'self' d4tuoctqmanu0.cloudfront.net fonts.googleapis.com; img-src 'self' data: blob: d3gk2c5xim1je2.cloudfront.net mintcdn.com *.mintcdn.com cdn.jsdelivr.net mintlify.s3.us-west-1.amazonaws.com; connect-src 'self' *.mintlify.dev *.mintlify.com d1ctpt7j8wusba.cloudfront.net mintcdn.com *.mintcdn.com hcaptcha.com *.hcaptcha.com; frame-src 'self' *.mintlify.dev hcaptcha.com *.hcaptcha.com;
  1. Publica la regla.

Configuración de AWS CloudFront

Agrega una política de encabezados de respuesta en CloudFront: 
{
"ResponseHeadersPolicy": {
    "Name": "MintlifyCSP",
    "Config": {
    "SecurityHeadersConfig": {
        "ContentSecurityPolicy": {
        "ContentSecurityPolicy": "default-src 'self'; script-src 'self' 'unsafe-inline' 'unsafe-eval' cdn.jsdelivr.net hcaptcha.com *.hcaptcha.com; style-src 'self' 'unsafe-inline' d4tuoctqmanu0.cloudfront.net fonts.googleapis.com hcaptcha.com *.hcaptcha.com; font-src 'self' d4tuoctqmanu0.cloudfront.net fonts.googleapis.com; img-src 'self' data: blob: d3gk2c5xim1je2.cloudfront.net mintcdn.com *.mintcdn.com cdn.jsdelivr.net mintlify.s3.us-west-1.amazonaws.com; connect-src 'self' *.mintlify.dev *.mintlify.com d1ctpt7j8wusba.cloudfront.net mintcdn.com *.mintcdn.com hcaptcha.com *.hcaptcha.com; frame-src 'self' *.mintlify.dev hcaptcha.com *.hcaptcha.com;",
        "Override": true
        }
      }
    }
  }
}

Configuración de Vercel

Agrega en tu vercel.json: 
{
"headers": [
    {
    "source": "/(.*)",
    "headers": [
        {
        "key": "Content-Security-Policy",
        "value": "default-src 'self'; script-src 'self' 'unsafe-inline' 'unsafe-eval' cdn.jsdelivr.net hcaptcha.com *.hcaptcha.com; style-src 'self' 'unsafe-inline' d4tuoctqmanu0.cloudfront.net fonts.googleapis.com hcaptcha.com *.hcaptcha.com; font-src 'self' d4tuoctqmanu0.cloudfront.net fonts.googleapis.com; img-src 'self' data: blob: d3gk2c5xim1je2.cloudfront.net mintcdn.com *.mintcdn.com cdn.jsdelivr.net mintlify.s3.us-west-1.amazonaws.com; connect-src 'self' *.mintlify.dev *.mintlify.com d1ctpt7j8wusba.cloudfront.net mintcdn.com *.mintcdn.com hcaptcha.com *.hcaptcha.com; frame-src 'self' *.mintlify.dev hcaptcha.com *.hcaptcha.com;"
        }
      ]
    }
  ]
}

Solución de problemas

Identifica infracciones de la CSP en la consola de tu navegador:
  1. Abre las herramientas de desarrollador de tu navegador.
  2. Ve a la pestaña Console.
  3. Busca errores que empiecen por:
    • Content Security Policy: The page's settings blocked the loading of a resource
    • Refused to load the script/stylesheet because it violates the following Content Security Policy directive
    • Refused to connect to because it violates the following Content Security Policy directive