跳转到主要内容
内容安全策略(CSP)是一项安全标准,通过控制网页可加载的资源来帮助防止跨站脚本(XSS)攻击。Mintlify 提供了默认的 CSP,可保护大多数站点。如果你在反向代理或防火墙后托管文档,并覆盖了默认的 CSP,则可能需要配置 CSP 响应头,才能确保各项功能正常运行。

CSP 指令

以下 CSP 指令用于控制可加载的资源:
  • script-src: 控制可执行哪些脚本
  • style-src: 控制可加载哪些样式表
  • font-src: 控制可加载哪些字体
  • img-src: 控制可加载哪些图片、图标和标识
  • connect-src: 控制可用于 API 调用和 WebSocket 连接的 URL
  • frame-src: 控制可嵌入到 frame 或 iframe 的 URL
  • default-src: 作为未显式设置时其他指令的默认回退

域名白名单

域名用途CSP 指令必需
d4tuoctqmanu0.cloudfront.netKaTeX CSS、字体style-srcfont-src必需
*.mintlify.dev文档内容connect-srcframe-src必需
*.mintlify.com控制台、API、分析代理connect-src必需
leaves.mintlify.com文档助手 APIconnect-src必需
d3gk2c5xim1je2.cloudfront.net图标、图片、标志img-src必需
d1ctpt7j8wusba.cloudfront.netMint 版本与发布文件connect-src必需
mintcdn.com图片、网站图标(favicon)img-srcconnect-src必需
*.mintcdn.com图片、网站图标(favicon)img-srcconnect-src必需
api.mintlifytrieve.com搜索 APIconnect-src必需
cdn.jsdelivr.netOG 图片的表情资源script-srcimg-src必需
fonts.googleapis.comGoogle 字体style-srcfont-src可选
www.googletagmanager.comGoogle Analytics/GTMscript-srcconnect-src可选
cdn.segment.comSegment 分析script-srcconnect-src可选
plausible.ioPlausible 分析script-srcconnect-src可选
us.posthog.comPostHog 分析connect-src可选
cdn.getkoala.comKoala 分析script-src可选
tag.clearbitscripts.comClearbit 跟踪script-src可选
cdn.heapanalytics.comHeap 分析script-src可选
chat.cdn-plain.comPlain 聊天挂件script-src可选
chat-assets.frontapp.comFront 聊天挂件script-src可选
browser.sentry-cdn.comSentry 错误跟踪script-srcconnect-src可选
js.sentry-cdn.comSentry JavaScript SDKscript-src可选

CSP 配置示例

仅包含你使用的服务的域名。删除任何未在文档中配置的分析相关域名。
Content-Security-Policy:
default-src 'self';
script-src 'self' 'unsafe-inline' 'unsafe-eval' cdn.jsdelivr.net www.googletagmanager.com cdn.segment.com plausible.io
us.posthog.com cdn.getkoala.com tag.clearbitscripts.com cdn.heapanalytics.com chat.cdn-plain.com chat-assets.frontapp.com
browser.sentry-cdn.com js.sentry-cdn.com;
style-src 'self' 'unsafe-inline' d4tuoctqmanu0.cloudfront.net fonts.googleapis.com;
font-src 'self' d4tuoctqmanu0.cloudfront.net fonts.googleapis.com;
img-src 'self' data: blob: d3gk2c5xim1je2.cloudfront.net mintcdn.com *.mintcdn.com cdn.jsdelivr.net;
connect-src 'self' *.mintlify.dev *.mintlify.com d1ctpt7j8wusba.cloudfront.net mintcdn.com *.mintcdn.com
api.mintlifytrieve.com www.googletagmanager.com cdn.segment.com plausible.io us.posthog.com browser.sentry-cdn.com;
frame-src 'self' *.mintlify.dev;

不同代理类型的常见配置

大多数反向代理都支持添加自定义请求头。

Cloudflare 配置

创建一个响应头转换规则(Response Header Transform Rule):
  1. 在 Cloudflare 控制台,前往 Rules > Overview
  2. 选择 Create rule > Response Header Transform Rule
  3. 配置该规则:
  • Modify response header:设置为 static
    • Header nameContent-Security-Policy
    • Header value 
      default-src 'self'; script-src 'self' 'unsafe-inline' 'unsafe-eval' cdn.jsdelivr.net; style-src 'self' 'unsafe-inline' d4tuoctqmanu0.cloudfront.net fonts.googleapis.com; font-src 'self' d4tuoctqmanu0.cloudfront.net fonts.googleapis.com; img-src 'self' data: blob: d3gk2c5xim1je2.cloudfront.net mintcdn.com *.mintcdn.com cdn.jsdelivr.net; connect-src 'self' *.mintlify.dev *.mintlify.com d1ctpt7j8wusba.cloudfront.net mintcdn.com *.mintcdn.com api.mintlifytrieve.com; frame-src 'self' *.mintlify.dev;
  1. 部署该规则。

AWS CloudFront 配置

在 CloudFront 中添加一个响应标头策略: 
{
"ResponseHeadersPolicy": {
    "Name": "MintlifyCSP",
    "Config": {
    "SecurityHeadersConfig": {
        "ContentSecurityPolicy": {
        "ContentSecurityPolicy": "default-src 'self'; script-src 'self' 'unsafe-inline' 'unsafe-eval' cdn.jsdelivr.net; style-src 'self' 'unsafe-inline' d4tuoctqmanu0.cloudfront.net fonts.googleapis.com; font-src 'self' d4tuoctqmanu0.cloudfront.net fonts.googleapis.com; img-src 'self' data: blob: d3gk2c5xim1je2.cloudfront.net mintcdn.com *.mintcdn.com cdn.jsdelivr.net; connect-src 'self' *.mintlify.dev *.mintlify.com d1ctpt7j8wusba.cloudfront.net mintcdn.com *.mintcdn.com api.mintlifytrieve.com; frame-src 'self' *.mintlify.dev;",
        "Override": true
        }
      }
    }
  }
}

Vercel 配置

将以下内容添加到你的 vercel.json 
{
"headers": [
    {
    "source": "/(.*)",
    "headers": [
        {
        "key": "Content-Security-Policy",
        "value": "default-src 'self'; script-src 'self' 'unsafe-inline' 'unsafe-eval' cdn.jsdelivr.net; style-src 'self' 'unsafe-inline' d4tuoctqmanu0.cloudfront.net fonts.googleapis.com; font-src 'self' d4tuoctqmanu0.cloudfront.net fonts.googleapis.com; img-src 'self' data: blob: d3gk2c5xim1je2.cloudfront.net mintcdn.com *.mintcdn.com cdn.jsdelivr.net; connect-src 'self' *.mintlify.dev *.mintlify.com d1ctpt7j8wusba.cloudfront.net mintcdn.com *.mintcdn.com api.mintlifytrieve.com; frame-src 'self' *.mintlify.dev;"
        }
      ]
    }
  ]
}

故障排查

在浏览器控制台中定位 CSP 违规:
  1. 打开浏览器的开发者工具。
  2. 切换到 Console 选项卡。
  3. 查找以下前缀的错误信息:
    • Content Security Policy: The page's settings blocked the loading of a resource
    • Refused to load the script/stylesheet because it violates the following Content Security Policy directive
    • Refused to connect to because it violates the following Content Security Policy directive