Máte 3 otázky:
Konzole chyby, které se ukázaly nejsou CSP-související. "403 Zakázáno" znamená, že nemusíte mít přístup k související Url. "X-Frame-Options" na " popřít!" znamená, že se pokusíte vložit iframe ale, že strana zakáže vkládání přes X-Frame-Options: "DENY"
Záhlaví HTTP.
Špatný formát Nginx add_header
. Je třeba vypadá (pozor na citace - always
klíčové slovo by měly být umístěny mimo CSP nastavení):
add_header Content-Security-Policy "default-src 'self'..." always;
Špatný formát CSP hostitele-zdroje. Host-zdrojů, jako .youtube.com
nesmí obsahovat přední .
dot:
youtube.com
umožní načíst zdroje z http(s)://youtube.com a *.youtube.com
umožní, aby prostředky ze subdomény youtube.com.
Takže vaše syntakticky správné CSP by vypadá takto:
add_header Content-Security-Policy "\
default-src 'self' 'unsafe-inline' https://stackpath.bootstrapcdn.com\
https://fonts.googleapis.com infobip.com ws://infobip.com wss://infobip.com youtube.com\
https://cdn.jsdelivr.net http://www.w3.org;\
connect-src 'self' infobip.com wss://infobip.com ws://*.infobip.com\
wss://livechat-fr.infobip.com/chat/web/proxy/ https://doubleclick.net;\
img-src 'self' data: https://openstreetmap.org;\
" always;
Všimněte si, že:
- wss://livechat-fr.infobip.com/chat/web/proxy/492/hybzmnjl/websocket - neobsahují bold path-část CSP, protože to změní pokaždé, když.
- Schéma-zdrojů, jako
wss:
zahrnuje všechny hostitele-zdroje s tímto režimem (např. wss://stránky.com/websocket). Tak jsem smazal systému-zdroje a opustil hostitele-zdroje.
- Vymazal jsem některé nepodporované zdroje, například
'unsafe-inline'
v connect-src
.
- Nginx by měl podporovat zpětné lomítko
\
jako konec řádku, tak jsem to použil, protože to je těžké udržet CSP v jedné linii. Zkontrolujte, zda se vaše Nginx verze podporuje tuto funkci.
Poznámka 2: Tato CSP může blokovat některé zdroje - stačí přidat je do příslušných směrnic.
Poznámka 3: Zvážit přesun zdrojů z default-src
směrnice script-src
+ style-src
+ font-src
směrnic. Protože pro teď vám vlastně umožňuje 'unsafe-inline'
v scrit-src
takže vaše CSP nechrání proti XSS. To bude také být obtížné spravovat CSP v budoucnu, protože zdroje jsou smíchány v jedné směrnice.