Dopo l'aggiornamento del GTM, il src dello script della content security policy

Comunità Dati e reportistica
1

Discourse è stato aggiornato il 2021-04-08.

Successivamente abbiamo notato che la content_security_policy potrebbe presentare alcuni problemi.

GTM per lo script src della content security policy

2021-04-10_11-25-49
2021-04-10_11-25-491288×1088 51.2 KB

F12 per la console:

2021-04-10_11-26-52
2021-04-10_11-26-522118×1215 170 KB

Questo è accaduto dopo l’aggiornamento all’ultima versione di Discourse.

1 Mi Piace
2

Puoi mostraci l’intero header CSP così com’è stato inviato?

1 Mi Piace
3

@supermathie

Grazie mille per la tua rapida risposta.

Ho provato a caricare l’intestazione da Firefox, ma non sono sicuro di aver fatto tutto correttamente.

Ti allego uno screenshot.

2021-04-10_13-15-48
2021-04-10_13-15-482560×1400 255 KB

Passato a Chrome.

Qui forse puoi ottenere più dettagli sulla richiesta.

2021-04-10_13-32-02
2021-04-10_13-32-022560×1227 330 KB

4

Le cose devono essere cambiate rispetto al post originale, dato che ora si comporta come dovrebbe:

○ → curl -I https://www.ossez.com
HTTP/2 200 
…
content-security-policy: base-uri 'none'; object-src 'none'; script-src https://www.ossez.com/logs/ https://www.ossez.com/sidekiq/ https://www.ossez.com/mini-profiler-resources/ https://www.ossez.com/assets/ https://www.ossez.com/brotli_asset/ https://www.ossez.com/extra-locales/ https://www.ossez.com/highlight-js/ https://www.ossez.com/javascripts/ https://www.ossez.com/plugins/ https://www.ossez.com/theme-javascripts/ https://www.ossez.com/svg-sprite/ https://www.googletagmanager.com/gtm.js 'nonce-38d2a45e5e933b869e14465772b2c0de' https: https://tagmanager.google.com https://www.googletagmanager.com 'unsafe-inline' https://analytics.ossez.com/matomo.js https://www.ossez.com/cdn-cgi/apps/head/qk5vBDFy7qBIoPy3q8a6LUoKei8.js https://www.googletagmanager.com/gtm.js; worker-src 'self' https://www.ossez.com/assets/ https://www.ossez.com/brotli_asset/ https://www.ossez.com/javascripts/ https://www.ossez.com/plugins/

‘unsafe-inline’ è ora correttamente tra virgolette, ma viene ignorato da Chrome:

Esecuzione dello script inline rifiutata perché viola la seguente direttiva Content Security Policy: […] Si noti che ‘unsafe-inline’ viene ignorato se nella lista delle origini è presente un valore hash o nonce.

e da Firefox:

Content Security Policy: Ignoramento di “‘unsafe-inline’” all’interno di script-src o style-src: specificato nonce-source o hash-source

poiché hai specificato un valore nonce nell’elenco CSP: 'nonce-38d2a45e5e933b869e14465772b2c0de'

Vedo che sei dietro Cloudflare; tieni presente che devi disabilitare diverse funzionalità di Cloudflare, poiché di default esse interrompono il funzionamento di Discourse.

4 Mi Piace
5

Grazie mille.

1 Mi Piace