Ai 3 probleme:
Consola de erori prezentate nu sunt CSP-legate. "403 Forbidden" înseamnă că nu au acces la Url-ul aferent. "'X-Frame-Options" pentru a "nega" înseamnă că încercați să iframe embed, dar pagina nu permite încorporarea prin X-Frame-Options: "DENY"
Antet HTTP.
Greșit format de Nginx add_header
. Acesta ar trebui să se pare (atentie la ghilimele - always
cuvinte cheie ar trebui să fie plasat din CSP setări):
add_header Content-Security-Policy "default-src 'self'..." always;
Greșit format de CSP-gazdă surse. Host-surse, cum ar fi .youtube.com
nu trebuie să conțină un lider .
dot:
youtube.com
va permite pentru a încărca resursele de http(s)://youtube.com și *.youtube.com
va permite de resurse de la subdomenii de youtube.com.
Deci, din punct de vedere sintactic corectă CSP ar trebui să arata ca:
add_header Content-Security-Policy "\
default-src 'self' 'unsafe-inline' https://stackpath.bootstrapcdn.com\
https://fonts.googleapis.com infobip.com ws://infobip.com wss://infobip.com youtube.com\
https://cdn.jsdelivr.net http://www.w3.org;\
connect-src 'self' infobip.com wss://infobip.com ws://*.infobip.com\
wss://livechat-fr.infobip.com/chat/web/proxy/ https://doubleclick.net;\
img-src 'self' data: https://openstreetmap.org;\
" always;
Rețineți că:
- aac://livechat-fr.infobip.com/chat/web/proxy/492/hybzmnjl/websocket - nu includ bold cale de-o parte pentru a CSP, pentru că s-a schimbat de fiecare dată.
- Schema-surse, cum ar fi
wss:
se referă la orice host-surse cu acest sistem (de exemplu, aac://site.com/websocket). Așa că am șters scheme-surse și a lăsat-gazdă surse.
- Am sters unele neacceptate surse, de exemplu
'unsafe-inline'
în connect-src
.
- Nginx ar trebui să sprijine un backslash
\
ca linie de pauză, așa că am folosit-o pentru că e greu să mențină CONCENTRATĂ într-o singură linie. Verificați are Nginx versiune acceptă această caracteristică.
Nota 2: Acest CSP poate bloca unele surse - doar adăugați-le la directivele corespunzătoare.
Nota 3: ia în Considerare trecerea la surse de default-src
directiva a script-src
+ style-src
+ font-src
directivele. Pentru că acum vă permite de fapt 'unsafe-inline'
în scrit-src
deci, CSP nu protejează împotriva XSS. Acesta va fi, de asemenea, dificil de a gestiona CSP în viitor, deoarece sursele sunt amestecate într-o singură directivă.