Dominios permitidos

Restrinja la carga del widget a los hosts que usted posee. Evita que alguien copie su fragmento de código en un sitio ajeno.

La clave de incrustación del widget (ek_…) es visible en el HTML de su sitio — no hay forma de mantenerla privada. Cualquier persona que vea el código fuente puede copiarla e incrustar su widget en su propia página, iniciando chats que llegan a su bandeja de entrada.

Dominios permitidos es la defensa: una lista blanca de nombres de host donde se permite cargar su widget.

Configurar la lista

Configuración → Chat → Dominios permitidos. Añada un nombre de host por línea:

acme.com
support.acme.com
acme.io

Guarde. Los nuevos visitantes verán el widget; cualquiera que incruste su fragmento en un host diferente recibirá active: false del endpoint de inicio, y la burbuja simplemente no se renderizará.

Reglas de coincidencia

  • Coincidencia exacta de host o subdominio. acme.com en la lista coincide con acme.com, www.acme.com y blog.acme.com. No coincide con acme.io ni con notacme.com.
  • Sin comodines ni expresiones regulares. Si tiene múltiples dominios de nivel superior, indique cada uno.
  • Sin distinción de mayúsculas y minúsculas. Acme.com y acme.com son iguales.

La comprobación se realiza contra el encabezado Origin (y utiliza Referer como alternativa). Los visitantes que bloqueen ambos encabezados — caso poco frecuente — caen en la categoría "no permitido" en lugar de lo contrario.

Dejar la lista vacía

Una lista vacía significa permitir cualquier origen. Este es el valor predeterminado para los nuevos espacios de trabajo, porque queremos que el widget funcione desde el primer momento durante la configuración. Añada al menos su propio dominio de producción antes de lanzarlo. Olvidar esto es el descuido más frecuente antes del lanzamiento.

Desarrollo local

Durante el desarrollo, el widget se ejecuta en localhost, que no coincidirá con un dominio real. Puede:

  • Dejar la lista de dominios permitidos vacía hasta que publique.
  • Añadir localhost a la lista temporalmente y eliminarlo antes del lanzamiento.

Nunca se permite localhost automáticamente en producción.