ANYMARKET SUPPORT TEAM

Esta actualización sólo afectará a los clientes y socios que utilicen nuestra API de marketplace para las integraciones.

¿Qué va a cambiar?

Con el objetivo de reforzar la seguridad de la aplicación, el servidor comenzará a incluir el encabezado HTTP Content-Security-Policy (CSP).

Este encabezado restringe los tipos de contenido que pueden ser cargados en la aplicación, bloqueando scripts, estilos o fuentes provenientes de orígenes no autorizados. Esta medida contribuye a prevenir ataques como Cross-Site Scripting (XSS) e inyecciones de código malicioso.

¿Por qué estamos realizando este cambio?

La implementación de CSP trae múltiples beneficios en términos de seguridad y cumplimiento normativo:

· Protección avanzada: Reduce significativamente los riesgos de ataques XSS e inyecciones de contenido malicioso.

· Cumplimiento de estándares: Se alinea con los requisitos de seguridad del GDPR, OWASP y otras buenas prácticas del sector.

· Control del contenido: Asegura que solo se carguen recursos de fuentes confiables en la aplicación.

¿Cuándo se implementará?

Esta medida se aplicará a partir del 6 de junio de 2025.

Antes de su activación en el entorno productivo, se recomienda realizar pruebas en el ambiente de homologación para identificar y prevenir impactos no deseados.

¿Qué debo hacer?

La mayoría de los socios y clientes no necesitará hacer cambios. Sin embargo, es importante prestar atención a los siguientes casos:

· Integraciones externas: Si tu aplicación utiliza embeds, scripts o recursos de terceros, podría ser necesario ajustar permisos para permitir su carga.

· Pruebas de compatibilidad: Asegúrate de que todas tus integraciones funcionen correctamente bajo esta nueva política. Si detectas bloqueos, puedes solicitar la inclusión de ciertos dominios en la política CSP.

· Monitoreo de violaciones: Revisa los logs y reportes de CSP para identificar posibles bloqueos inesperados y tomar acciones correctivas.

Puntos importantes a tener en cuenta:

· Impacto en servicios externos: Algunas funcionalidades podrían dejar de funcionar si son bloqueadas por la política. En ese caso, será necesario adaptarlas.

· Activación inicial recomendada en modo report-only: Esto permite monitorear los impactos sin bloquear contenido inmediatamente, facilitando una transición gradual.

· Ajustes continuos: La política podrá ajustarse a medida que se identifiquen nuevas necesidades o integraciones.

· Compatibilidad con navegadores: Algunas directivas de CSP pueden no estar disponibles en todos los navegadores; tenlo en cuenta al hacer pruebas.

Seguimos comprometidos con ofrecer un entorno cada vez más seguro y confiable para tus operaciones.

Para cualquier duda, comunícate con nuestro equipo de soporte a través del portal de atención.