Directivas CSP
script-src: Controla qué scripts se pueden ejecutarstyle-src: Controla qué hojas de estilo se pueden cargarfont-src: Controla qué fuentes se pueden cargarimg-src: Controla qué imágenes, iconos y logotipos se pueden cargarconnect-src: Controla a qué URL se puede conectar para llamadas a la API y conexiones WebSocketframe-src: Controla qué URL se pueden incrustar en frames o iframesdefault-src: Valor predeterminado para otras directivas cuando no se establece explícitamente
Lista de dominios permitidos
| Dominio | Propósito | Directiva CSP | Obligatorio |
|---|---|---|---|
d4tuoctqmanu0.cloudfront.net | CSS y fuentes de KaTeX | style-src, font-src | Obligatorio |
*.mintlify.dev | Contenido de la documentación | connect-src, frame-src | Obligatorio |
*.mintlify.com | Dashboard, API, proxy de Analytics | connect-src | Obligatorio |
leaves.mintlify.com | API del assistant | connect-src | Obligatorio |
d3gk2c5xim1je2.cloudfront.net | Íconos, imágenes, logotipos | img-src | Obligatorio |
d1ctpt7j8wusba.cloudfront.net | Archivos de versiones y lanzamientos de Mint | connect-src | Obligatorio |
mintcdn.com | Imágenes, favicons | img-src, connect-src | Obligatorio |
*.mintcdn.com | Imágenes, favicons | img-src, connect-src | Obligatorio |
api.mintlifytrieve.com | API de búsqueda | connect-src | Obligatorio |
cdn.jsdelivr.net | Recursos de emojis para imágenes OG | script-src, img-src | Obligatorio |
fonts.googleapis.com | Google Fonts | style-src, font-src | Opcional |
www.googletagmanager.com | Google Analytics/GTM | script-src, connect-src | Opcional |
cdn.segment.com | Segment Analytics | script-src, connect-src | Opcional |
plausible.io | Plausible Analytics | script-src, connect-src | Opcional |
us.posthog.com | PostHog Analytics | connect-src | Opcional |
tag.clearbitscripts.com | Seguimiento de Clearbit | script-src | Opcional |
cdn.heapanalytics.com | Heap Analytics | script-src | Opcional |
chat.cdn-plain.com | Widget de chat de Plain | script-src | Opcional |
chat-assets.frontapp.com | Widget de chat de Front | script-src | Opcional |
browser.sentry-cdn.com | Seguimiento de errores con Sentry | script-src, connect-src | Opcional |
js.sentry-cdn.com | SDK de JavaScript de Sentry | script-src | Opcional |
Ejemplo de configuración de CSP
Incluye solo los domains de los servicios que usas. Elimina cualquier domain de Analytics que no hayas configurado para tu documentación.
Configuraciones comunes por tipo de proxy
Configuración de Cloudflare
- En tu dashboard de Cloudflare, ve a Rules > Overview.
- Selecciona Create rule > Response Header Transform Rule.
- Configura la regla:
- Modify response header: Set static
- Header name:
Content-Security-Policy - Header value:
- Header name:
- Publica la regla.
Configuración de AWS CloudFront
Configuración de Vercel
vercel.json:
Solución de problemas
- Abre las herramientas de desarrollador de tu navegador.
- Ve a la pestaña Console.
- Busca errores que empiecen por:
Content Security Policy: The page's settings blocked the loading of a resourceRefused to load the script/stylesheet because it violates the following Content Security Policy directiveRefused to connect to because it violates the following Content Security Policy directive