KORVUS

Documentation

Tout ce qu'il faut pour installer et configurer Korvus.

Content Security Policy (CSP)

Comment configurer votre CSP pour autoriser le snippet Korvus sur votre site.

Qu'est-ce qu'une CSP ?

Une Content Security Policy est un header HTTP qui indique au navigateur quels domaines sont autorisés à charger des scripts et envoyer des requêtes depuis votre site. Si votre site utilise une CSP stricte, vous devez y ajouter les domaines Korvus.

Si vous ne savez pas si votre site a une CSP, il fonctionne probablement sans. Votre développeur peut vérifier dans les headers HTTP de votre site (DevTools → Network → cliquer sur la page → onglet Headers → chercher Content-Security-Policy).

Installation via GTM

Google Tag Manager est déjà autorisé dans la CSP de la quasi-totalité des sites e-commerce. Si vous installez Korvus via GTM, vous devez uniquement autoriser l'envoi de données :

connect-src https://app.korvus.fr;

Ajoutez ce domaine à votre directive connect-src existante.

Installation directe (sans GTM)

Si vous chargez le snippet Korvus directement dans votre HTML (sans passer par GTM), deux directives sont nécessaires :

script-src https://cdn.korvus.fr;
connect-src https://app.korvus.fr;
  • script-src autorise le chargement du script depuis le CDN Korvus
  • connect-src autorise l'envoi des données vers l'API Korvus

Exemple complet

Si votre CSP actuelle ressemble à :

Content-Security-Policy: default-src 'self'; script-src 'self' https://www.googletagmanager.com; connect-src 'self'

Ajoutez les domaines Korvus :

Content-Security-Policy: default-src 'self'; script-src 'self' https://www.googletagmanager.com https://cdn.korvus.fr; connect-src 'self' https://app.korvus.fr

Comment vérifier

Méthode 1 — Console du navigateur

Ouvrez les DevTools de votre navigateur (F12) et allez dans l'onglet Console. Si la CSP bloque Korvus, vous verrez un message du type :

Refused to connect to 'https://app.korvus.fr/api/ingest' because it violates the following Content Security Policy directive: "connect-src 'self'"

Méthode 2 — Onglet Network

Dans les DevTools, allez dans l'onglet Network et cherchez les requêtes vers app.korvus.fr. Si aucune requête n'apparaît alors que le snippet est bien chargé, la CSP bloque probablement l'envoi.

Symptômes d'un blocage CSP

  • Le snippet se charge correctement (visible dans Network)
  • Mais aucune donnée n'apparaît dans le dashboard Korvus
  • Des erreurs Refused to connect ou Refused to load the script apparaissent dans la console
  • Le snippet détecte automatiquement ce blocage et échoue silencieusement, sans impact sur votre site

Domaines à autoriser

DomaineDirective CSPRôle
https://cdn.korvus.frscript-srcChargement du script (installation directe uniquement)
https://app.korvus.frconnect-srcEnvoi des données collectées

Aucun autre domaine n'est nécessaire. Korvus ne charge pas de ressources tierces (pas de polices, pas d'images, pas d'iframes).

PrécédentDonnées collectéesSuivantDépannage