Documentación

Compatibilidad con nonce de la política de seguridad de contenido para scripts en línea en AEM Sites

Last update: Wed Dec 24 2025 00:00:00 GMT+0000 (Coordinated Universal Time)

Una directiva de seguridad de contenido (CSP) estricta mitiga los riesgos de seguridad, como los scripts entre sitios (XSS). En los sitios de Adobe Experience Manager (AEM), el uso de script-src 'unsafe-inline' y 'unsafe-eval' habilita los scripts en línea, pero presenta vulnerabilidades. En esta guía se explica si AEM Sites admite nonces CSP o alternativas seguras para cargar scripts en línea sin directivas no seguras.

Para solucionarlo, deberá refactorizar los scripts en línea e implementar la gestión de nonce personalizada.

Descripción description

Entorno

Producto: AEM as a Cloud Service - Sitios

Problema/Síntomas

  • Los scripts en línea no se pueden cargar cuando el CSP excluye 'unsafe-inline' y 'unsafe-eval'.
  • La eliminación de estos indicadores se marca como un riesgo de seguridad, pero interrumpe la funcionalidad.
  • Se necesita un método seguro como nonces CSP para permitir la ejecución de scripts en línea sin poner en riesgo la seguridad.

Resolución resolution

Consideraciones clave:

  • AEM Sites no proporciona compatibilidad predeterminada con los nonces CSP.
  • AEM no decora automáticamente sus scripts en línea con nonces.

  1. Para aplicar directivas CSP más estrictas sin directivas no seguras (es decir, excluyendo unsafe-inline/unsafe-eval:

    • Refactorizar scripts en línea en archivos JavaScript externos. Consulte Configuración de un CSP en la documentación de Experience Platform para obtener más información.
    • Cree una solución personalizada para generar e inyectar nonces si es necesario.

  2. Pruebe todos los cambios para asegurarse de que la funcionalidad de la página no se interrumpa.

Notas:

  • La ausencia de CSP no constituye una vulnerabilidad inherente en AEM; sirve como un nivel adicional de defensa. Consulte Información general sobre la política de seguridad de contenido en la documentación de Commerce.
  • La implementación personalizada es necesaria para aplicar CSP de forma más estricta más allá de lo que se admite de forma predeterminada en la actualidad.
recommendation-more-help
3d58f420-19b5-47a0-a122-5c9dab55ec7f