DISCOURSE_CDN_URL вызывает нарушения политики безопасности контента?

pfaffman · 06.Февраль.2020 21:51:29

Не понимаю, как я так напортачил. Не вижу, почему только я сталкиваюсь с тем, что выглядит как ошибка.

Если я определяю

  DISCOURSE_CDN_URL: https://lcsupport-92e2.kxcdn.com

в блоке env: в моём файле yml для довольно стандартной мультисайтовой конфигурации, все CDN-URL-адреса отклоняются браузером с ошибкой CSP.

content security policy script src утверждает: «Дополнительные разрешённые источники скриптов. По умолчанию включены текущий хост и CDN. См. Смягчение атак XSS с помощью Content Security Policy», но когда я определяю его (или добавляю/удаляю из discourse.conf и выполняю sv restart unicorn), получаю следующее:

Даже при установке content security policy report only в true сайт всё равно не загружается.

Кажется, чтобы браузер загрузил ресурсы, необходимо либо отключить content_security_policy, либо добавить URL CDN в content security policy script src.

Здесь находится мой файл yml.

xrav3nz · 06.Февраль.2020 22:14:58

URL-адреса CDN должны по умолчанию вычисляться и включаться в CSP. Не могли бы вы также предоставить (или попробовать сравнить) фактическую CSP, отправляемую в заголовке, и источник заблокированных ресурсов?

pfaffman · 06.Февраль.2020 22:45:40

Вот заголовок:

content-security-policy-report-only: base-uri 'none'; object-src 'none'; script-src 'report-sample' 
https://support.literatecomputing.com/logs/ 
https://support.literatecomputing.com/sidekiq/ 
https://support.literatecomputing.com/mini-profiler-resources/ 
https://abedmulti-92e2.kxcdn.com/uploads/assets/ 
https://abedmulti-92e2.kxcdn.com/uploads/brotli_asset/ 
https://support.literatecomputing.com/extra-locales/ 
https://lcsupport-92e2.kxcdn.com/highlight-js/ 
https://lcsupport-92e2.kxcdn.com/javascripts/ 
https://lcsupport-92e2.kxcdn.com/plugins/ 
https://lcsupport-92e2.kxcdn.com/theme-javascripts/ 
https://lcsupport-92e2.kxcdn.com/svg-sprite/ 
https://www.google-analytics.com/analytics.js 
https://tagmanager.google.com/ 
https://www.googletagmanager.com/; worker-src 'self' blob:

Вот переменные окружения внутри контейнера:

root@support-multi:/var/www/discourse# echo $DISCOURSE_S3_UPLOAD_BUCKET 
abed-multi/uploads
root@support-multi:/var/www/discourse# echo $DISCOURSE_S3_CDN_URL 
https://abedmulti-92e2.kxcdn.com/uploads

Вот URL CDN из discourse.conf:

cdn_url = 'https://lcsupport-92e2.kxcdn.com'

и rails:

[1] pry(main)> GlobalSetting.cdn_url
=> "https://lcsupport-92e2.kxcdn.com"

А вот URL одного из ресурсов, который не загружается: https://lcsupport-92e2.kxcdn.com/brotli_asset/preload-store-d32dcf974dddcac742f8a7a6aa7fcd686185920b201029d0ecb2b85527ef9034.js

xrav3nz · 06.Февраль.2020 23:11:15

Итак, у нас в CSP указано:

https://abedmulti-92e2.kxcdn.com/uploads/assets/
https://abedmulti-92e2.kxcdn.com/uploads/brotli_asset/
# т.е. DISCOURSE_S3_CDN_URL + /brotli_asset/

Но фактический адрес:

https://lcsupport-92e2.kxcdn.com/brotli_asset/preload-store-d32dcf974dddcac742f8a7a6aa7fcd686185920b201029d0ecb2b85527ef9034.js
# т.е. DISCOURSE_CDN_URL + /brotli_asset/...

Соответствующий код CSP:

github.com/discourse/discourse

lib/content_security_policy/default.rb

49843f327


      
            # [dir, can_use_s3_cdn, can_use_cdn]
            ['/assets/',             true, true],
            ['/brotli_asset/',       true, true],
            ['/extra-locales/',      false, false],
            ['/highlight-js/',       false, true],
            ['/javascripts/',        false, true],
            ['/plugins/',            false, true],
            ['/theme-javascripts/',  false, true],
            ['/svg-sprite/',         false, true],
          ]
          
          def script_assets(base = base_url, s3_cdn = GlobalSetting.s3_cdn_url, cdn = GlobalSetting.cdn_url)
            SCRIPT_ASSET_DIRECTORIES.map do |dir, can_use_s3_cdn, can_use_cdn|
              if can_use_s3_cdn && s3_cdn
                s3_cdn + dir
              elsif can_use_cdn && cdn
                cdn + dir
              else
                base + dir
              end

Мы приоритизируем использование DISCOURSE_S3_CDN_URL для ассетов, когда оно доступно. Это соответствует генерации URL ассетов CDN.

@pfaffman Возвращает ли GlobalSetting.use_s3? значение true для вашего сайта?

Мне интересно, не нужно ли здесь добавить дополнительную проверку GlobalSetting.use_s3?. Обязательно ли наличие GlobalSetting.s3_cdn_url подразумевает GlobalSetting.use_s3?? Сейчас я немного запутался в генерации ассетов / S3 CDN Не мог бы кто-то, кто лучше знаком с этим, тоже взглянуть? Спасибо!

pfaffman · 06.Февраль.2020 23:23:21

Что ж, я попробовал установить use_s3 и затем выполнить rake assets:precompile, но изменений нет.

У меня уже возникала подобная проблема, когда было непонятно, находятся ли ассеты в S3 или локально (или их копии в CDN).

Тема		Ответов	Просм.
CDN URL must be added to csp script src Self-hosting cdn	4	738	21.05.2024
Admin upgrade page doesn't load with a CDN Support	4	1105	05.11.2020
Assets not serving from CDN in latest update Support	17	1819	08.03.2020
Defining DISCOURSE_S3_CDN_URL links to assets in S3 CDN URL Support	43	6432	22.04.2020
Refused to load the script 'site.com/cdn-cgi/speculation' because it violates the following Content Security Policy directive Support content-security-policy	4	8403	22.10.2024

DISCOURSE_CDN_URL вызывает нарушения политики безопасности контента?

Связанные темы