CSPの問題を修正する方法

GreenOWL · 2022 年 3 月 9 日午後 3:42

こんにちは！CSPで問題が発生しています。これを修正するにはどうすればよいですか？

インラインスクリプトの実行は拒否されました。これは、次のコンテンツセキュリティポリシーディレクティブに違反しているためです: "script-src https://mydomain.com/logs/ https://mydomain.com/sidekiq/ https://mydomain.com/mini-profiler-resources/ https://mydomain.com/assets/ https://mydomain.com/brotli_asset/ https://mydomain.com/extra-locales/ https://mydomain.com/highlight-js/ https://mydomain.com/javascripts/ https://mydomain.com/plugins/ https://mydomain.com/theme-javascripts/ https://mydomain.com/svg-sprite/ https://mydomain.com"。インライン実行を有効にするには、'unsafe-inline' キーワード、ハッシュ ('sha256-ScCk7JwXKy22dTO0VFM7aV1chV+yd/MUda4X6VnGans=')、または nonce ('nonce-...') のいずれかが必要です。

テストのために、セーフモードに入りましたが、セーフモードでも同じ問題が発生しています。

JammyDodger · 2022 年 3 月 9 日午後 4:30

私の得意分野ではありませんが、検索したところ、インラインスクリプトを書き直す必要があるかもしれません。

GreenOWL · 2022 年 3 月 9 日午後 4:56

CSP保護を無効にしたくなく、外部スクリプトもありません。すべてのプラグインとトピックのコンポーネントを無効にしてみましたが、効果はありませんでした。

管理設定の content security policy script src にこれらのリンクをすべて追加しようとしましたが、問題は解決しました

https://mydomain.com/logs/ https://mydomain.com/sidekiq/ https://mydomain.com/mini-profiler-resources/ https://mydomain.com/assets/ https://mydomain.com/brotli_asset/ https://mydomain.com/extra-locales/ https://mydomain.com/highlight-js/ https://mydomain.com/javascripts/ https://mydomain.com/plugins/ https://mydomain.com/theme-javascripts/ https://mydomain.com/svg-sprite/ https://mydomain.com`

Falco · 2022 年 3 月 9 日午後 5:44

サイトのURLを共有していただけないと、お手伝いできません。

GreenOWL · 2022 年 3 月 9 日午後 5:47

あなたのプライベートメッセージに送ってもいいですか？

GreenOWL · 2022 年 3 月 9 日午後 6:06

うーん…

原因がわかりました。問題は、テーマでCSPメタタグを使用していることのようです。

<meta http-equiv="Content-Security-Policy" content="img-src https://imgur.com https://giphy.com">

禁止されているホストからの画像の表示を制限するには、img-srcディレクティブを使用する必要があります。

Falco · 2022 年 3 月 9 日午後 6:36

そのCSPディレクティブはDiscourseを完全に壊しますね。

GreenOWL · 2022 年 3 月 9 日午後 6:53

ヘッダーのデフォルトCSPディレクティブをメタタグを使用せずにimg-srcを追加するように変更するにはどうすればよいですか？Railsで試しましたが、何も変更されません。

Rails.application.config.action_dispatch.default_headers.merge!({'Content-Security-Policy' => "upgrade-insecure-requests; base-uri 'self'; object-src 'none'; script-src https://mydomain.com/logs/ https://mydomain.com/sidekiq/ https://mydomain.com/mini-profiler-resources/ https://mydomain.com/assets/ https://mydomain.com/brotli_asset/ https://mydomain.com/extra-locales/ https://mydomain.com/highlight-js/ https://mydomain.com/javascripts/ https://mydomain.com/plugins/ https://mydomain.com/theme-javascripts/ https://mydomain.com/svg-sprite/; worker-src 'self' https://mydomain.com/assets/ https://mydomain.com/brotli_asset/ https://mydomain.com/javascripts/ https://mydomain.com/plugins/; frame-ancestors 'self'; manifest-src 'self'; img-src data: https://mydomain.com https://imgur.com"})

GreenOWL · 2022 年 3 月 9 日午後 9:07

このメタタグを削除し、再構築したところ、問題は解決しました:frowning:

トピック		返信	表示
Refuse to reload script (CORS) with my settings Support	1	1119	2021 年 1 月 31 日
After upgrade the content security policy script src for GTM Data & reporting	4	1857	2021 年 4 月 13 日
Can't get script tag to work in landing pages plugin due to content-security-policy Support	5	91	2025 年 7 月 1 日
Mitigate XSS Attacks with Content Security Policy Site Management how-to , content-security-policy	32	24250	2023 年 6 月 13 日
Add CSP nonce-source support Dev	12	3962	2018 年 11 月 2 日

CSPの問題を修正する方法

関連トピック