¿DISCOURSE_CDN_URL causa violaciones de la política de seguridad del contenido?

pfaffman · 6 Febrero, 2020 21:51

No sé cómo estoy cometiendo este error. No puedo entender por qué soy el único que enfrenta lo que parece ser un error.

Si defino

  DISCOURSE_CDN_URL: https://lcsupport-92e2.kxcdn.com

en la sección env: de mi archivo yml para una configuración multisitio bastante estándar, todas las URLs del CDN son rechazadas por el navegador debido a un error de CSP.

content security policy script src afirma: “Fuentes de script adicionales permitidas. El host actual y el CDN están incluidos de forma predeterminada. Consulte Mitigar ataques XSS con Content Security Policy.”, pero cuando lo defino (o lo agrego/quito de discourse.conf y ejecuto sv restart unicorn), obtengo esto:

incluso con content security policy report only establecido en true, el sitio aún no carga.

Parece que es necesario desactivar content_security_policy o agregar la URL del CDN a content security policy script src para que el navegador cargue los recursos.

Aquí está mi archivo yml.

xrav3nz · 6 Febrero, 2020 22:14

Las URLs del CDN deben calcularse e incluirse en la CSP de forma predeterminada. ¿Podrías proporcionar (o intentar comparar) la CSP real servida en la cabecera y el origen de los recursos bloqueados?

pfaffman · 6 Febrero, 2020 22:45

Aquí está el encabezado:

content-security-policy-report-only: base-uri 'none'; object-src 'none'; script-src 'report-sample' 
https://support.literatecomputing.com/logs/ 
https://support.literatecomputing.com/sidekiq/ 
https://support.literatecomputing.com/mini-profiler-resources/ 
https://abedmulti-92e2.kxcdn.com/uploads/assets/ 
https://abedmulti-92e2.kxcdn.com/uploads/brotli_asset/ 
https://support.literatecomputing.com/extra-locales/ 
https://lcsupport-92e2.kxcdn.com/highlight-js/ 
https://lcsupport-92e2.kxcdn.com/javascripts/ 
https://lcsupport-92e2.kxcdn.com/plugins/ 
https://lcsupport-92e2.kxcdn.com/theme-javascripts/ 
https://lcsupport-92e2.kxcdn.com/svg-sprite/ 
https://www.google-analytics.com/analytics.js 
https://tagmanager.google.com/ 
https://www.googletagmanager.com/; worker-src 'self' blob:

Aquí están las variables de entorno dentro del contenedor:

root@support-multi:/var/www/discourse# echo $DISCOURSE_S3_UPLOAD_BUCKET 
abed-multi/uploads
root@support-multi:/var/www/discourse# echo $DISCOURSE_S3_CDN_URL 
https://abedmulti-92e2.kxcdn.com/uploads

Aquí está la URL del CDN de discourse.conf:

cdn_url = 'https://lcsupport-92e2.kxcdn.com'

y en rails:

[1] pry(main)> GlobalSetting.cdn_url
=> "https://lcsupport-92e2.kxcdn.com"

Y aquí está la URL de uno de los activos que no se carga: https://lcsupport-92e2.kxcdn.com/brotli_asset/preload-store-d32dcf974dddcac742f8a7a6aa7fcd686185920b201029d0ecb2b85527ef9034.js

xrav3nz · 6 Febrero, 2020 23:11

Así que tenemos esto en la CSP

https://abedmulti-92e2.kxcdn.com/uploads/assets/ 
https://abedmulti-92e2.kxcdn.com/uploads/brotli_asset/
# es decir, DISCOURSE_S3_CDN_URL + /brotli_asset/

Pero la dirección real es

https://lcsupport-92e2.kxcdn.com/brotli_asset/preload-store-d32dcf974dddcac742f8a7a6aa7fcd686185920b201029d0ecb2b85527ef9034.js
# es decir, DISCOURSE_CDN_URL + /brotli_asset/...

El código CSP relevante:

github.com/discourse/discourse

lib/content_security_policy/default.rb

49843f327


      
            # [dir, can_use_s3_cdn, can_use_cdn]
            ['/assets/',             true, true],
            ['/brotli_asset/',       true, true],
            ['/extra-locales/',      false, false],
            ['/highlight-js/',       false, true],
            ['/javascripts/',        false, true],
            ['/plugins/',            false, true],
            ['/theme-javascripts/',  false, true],
            ['/svg-sprite/',         false, true],
          ]
          
          def script_assets(base = base_url, s3_cdn = GlobalSetting.s3_cdn_url, cdn = GlobalSetting.cdn_url)
            SCRIPT_ASSET_DIRECTORIES.map do |dir, can_use_s3_cdn, can_use_cdn|
              if can_use_s3_cdn && s3_cdn
                s3_cdn + dir
              elsif can_use_cdn && cdn
                cdn + dir
              else
                base + dir
              end

Priorizamos el uso de DISCOURSE_S3_CDN_URL para los activos cuando está disponible. Esto se alinea con la generación de URLs de activos CDN.

@pfaffman ¿GlobalSetting.use_s3? devuelve true para tu sitio?

Me pregunto si necesitamos una verificación adicional de GlobalSetting.use_s3? aquí. ¿Tener GlobalSetting.s3_cdn_url implica necesariamente GlobalSetting.use_s3?? Ahora mismo estoy un poco confuso con la generación de activos / S3 CDN ¿podría alguien más familiarizado con esto echar un vistazo también? ¡Gracias!

pfaffman · 6 Febrero, 2020 23:23

Bueno, intenté configurar use_s3 y luego ejecutar rake assets:precompile, pero no hubo ningún cambio.

En otro lugar, tuve este problema donde hubo confusión sobre si los activos estaban en S3 o locales (o sus espejos en CDN).

Tema		Respuestas	Vistas
CDN URL must be added to csp script src Self-hosting cdn	4	738	21 Mayo 2024
Admin upgrade page doesn't load with a CDN Support	4	1106	5 Noviembre 2020
Assets not serving from CDN in latest update Support	17	1825	8 Marzo 2020
Defining DISCOURSE_S3_CDN_URL links to assets in S3 CDN URL Support	43	6440	22 Abril 2020
Refused to load the script 'site.com/cdn-cgi/speculation' because it violates the following Content Security Policy directive Support content-security-policy	4	8407	22 Octubre 2024

¿DISCOURSE_CDN_URL causa violaciones de la política de seguridad del contenido?

Temas relacionados