Configuration CSP & CORS
Configuration recommandée pour le loader ZYKAY v4.
CSP minimale
<meta http-equiv="Content-Security-Policy" content="
default-src 'self';
script-src 'self' https://widget-app.zykay.com 'unsafe-inline';
connect-src 'self' https://widget-app.zykay.com https://api.zykay.com;
img-src 'self' data: https:;
style-src 'self' 'unsafe-inline';
">Pourquoi ces directives
| Directive | Raison |
|---|---|
script-src https://widget-app.zykay.com | Chargement du loader v4 |
connect-src https://widget-app.zykay.com | verify-request + verify-status |
connect-src https://api.zykay.com | Appels backend partenaires (si nécessaires en environnement mixte) |
style-src 'unsafe-inline' | Styles injectés par le widget |
img-src data: | QR code et assets inline |
⚠️
Le flux v4 n'utilise pas d'iframe partenaire, donc frame-src et sandbox ne sont plus requis pour l'intégration standard.
CORS (votre backend)
Votre endpoint local d'échange doit accepter uniquement votre origine frontend.
import cors from 'cors';
app.use('/api/zykay/exchange', cors({
origin: 'https://votresite.com',
methods: ['POST'],
credentials: true,
}));Vérifications rapides
- Ouvrez la console navigateur
- Vérifiez l'absence d'erreurs CSP
- Vérifiez que
https://widget-app.zykay.com/v4/loader.min.jsse charge - Vérifiez que les appels
verify-requestetverify-statusne sont pas bloqués