¿Qué son los errores de CSP?
Content Security Policy (CSP) es una función de seguridad que controla qué recursos (como scripts o imágenes) pueden cargarse en tu sitio web. Si la configuración de CSP de tu sitio es demasiado restrictiva, puede bloquear recursos de los dominios de Intercom. Ejemplos de estas restricciones incluyen artículos del Help Center que aparecen en blanco o cargadores infinitos al intentar acceder al contenido.
Esto puede interrumpir funcionalidades clave y causar problemas como:
Cargas de imágenes bloqueadas: No se pueden cargar imágenes en Product Tours o el Messenger.
Product Tours no responsivos: Los cambios realizados en un Product Tour no se guardan.
Visuales rotos: Componentes de Intercom, como logotipos, pueden aparecer como imágenes rotas.
Problemas en el Help Center: Los artículos pueden aparecer en blanco o parcialmente renderizados, o pueden ocurrir cargadores infinitos.
Identificar errores de CSP
Para confirmar que CSP está causando problemas con Intercom en tu sitio, necesitarás revisar la consola de desarrollador de tu navegador.
Abre las herramientas de desarrollador en tu navegador (normalmente presionando F12 o haciendo clic derecho y seleccionando Inspeccionar).
Navega a la pestaña Consola.
Reproduce el problema en tu sitio, por ejemplo, intentando subir una imagen o guardar un Product Tour.
Busca mensajes de error en rojo en la consola que indiquen una violación de CSP. Estos mensajes suelen mencionar solicitudes bloqueadas a dominios de Intercom (por ejemplo,
uploads.intercomcdn.com,*.intercom.io) y la directiva CSP específica que causó el bloqueo, comoconnect-srcoimg-src. Ejemplo de error:Se rechazó cargar el script 'https://widget.intercom.io' porque viola la siguiente directiva de Content Security Policy: "script-src 'self'".
Resolver errores de CSP
Para resolver estos errores, necesitarás actualizar la configuración de CSP de tu sitio para permitir recursos de los dominios requeridos por Intercom.
1. Actualiza tus directivas CSP
Ubica la directiva con error: En el error de la consola de desarrollador, identifica qué directiva causó la restricción (por ejemplo,
img-src).Incluye en la lista blanca los dominios de Intercom: Agrega las URLs necesarias de Intercom a las directivas relevantes en la configuración CSP de tu sitio.
Importante: Normalmente necesitarás agregar los dominios de Intercom a las siguientes directivas:
connect-src: Para funcionalidades principales.img-src: Para imágenes y archivos adjuntos.media-src: Para recursos multimedia.
Los dominios a agregar son *.intercomcdn.com y *.intercom.io. Para la lista de dominios más actualizada, siempre consulta la documentación oficial de Intercom.
Además, incluye intercom-sheets.com en la directiva frame-src para asegurar la correcta carga de iframes del visor de artículos.
2. Revisa los encabezados de seguridad
Encabezados demasiado restrictivos como X-Frame-Options o configuraciones CSP de frame-ancestors también pueden afectar la funcionalidad de Intercom. Revisa estas configuraciones y ajústalas según sea necesario.
3. Verifica la configuración de red
Asegúrate de que la configuración de tu red o firewall permita conexiones salientes a los servidores de Intercom. Puede que necesites pedir a tu equipo de IT que incluya en la lista blanca los dominios necesarios.
4. Prueba tus cambios
Después de actualizar la configuración CSP:
Recarga las páginas afectadas en tu sitio y verifica si las funciones de Intercom ahora funcionan correctamente.
Monitorea la consola de desarrollador para asegurarte de que no aparezcan nuevas violaciones de CSP.
Realiza una recarga completa en tu navegador para limpiar los recursos en caché después de hacer cambios en la CSP.
Notas:
Tu equipo de desarrollo o departamento de IT puede necesitar ayuda para implementar estas actualizaciones de CSP.
Al integrar Intercom Messenger vía GTM, asegúrate de que la región de hosting de GTM coincida con la región de hosting de Intercom. Para EMEA, configura api_base a https://api-iam.eu.intercom.io. Si los problemas persisten, despliega Messenger en una etiqueta GTM dedicada en lugar de scripts en línea.