Как исправить проблему с CSP

GreenOWL · 09.Март.2022 15:42:06

Привет! У меня проблема с CSP, как это исправить?

Отказано в выполнении встроенного скрипта, так как это нарушает следующую директиву политики безопасности контента: "script-src https://mydomain.com/logs/ https://mydomain.com/sidekiq/ https://mydomain.com/mini-profiler-resources/ https://mydomain.com/assets/ https://mydomain.com/brotli_asset/ https://mydomain.com/extra-locales/ https://mydomain.com/highlight-js/ https://mydomain.com/javascripts/ https://mydomain.com/plugins/ https://mydomain.com/theme-javascripts/ https://mydomain.com/svg-sprite/ https://mydomain.com". Для включения выполнения встроенного кода требуется либо ключевое слово 'unsafe-inline', либо хеш ('sha256-ScCk7JwXKy22dTO0VFM7aV1chV+yd/MUda4X6VnGans='), либо nonce ('nonce-...').

Для теста я перешел в безопасный режим, но в безопасном режиме проблема сохраняется.

JammyDodger · 09.Март.2022 16:30:27

Это не моя сильная сторона, но я поискал, и, возможно, вам придется переписать встроенный скрипт, который вы пытаетесь использовать:

GreenOWL · 09.Март.2022 16:56:33

Я не хочу отключать защиту CSP, и у меня нет внешних скриптов. Я попытался отключить все плагины и компоненты темы, но это не помогло.

Я добавил все эти ссылки в настройку администратора «content security policy script src», но проблема осталась

https://mydomain.com/logs/ https://mydomain.com/sidekiq/ https://mydomain.com/mini-profiler-resources/ https://mydomain.com/assets/ https://mydomain.com/brotli_asset/ https://mydomain.com/extra-locales/ https://mydomain.com/highlight-js/ https://mydomain.com/javascripts/ https://mydomain.com/plugins/ https://mydomain.com/theme-javascripts/ https://mydomain.com/svg-sprite/ https://mydomain.com

Falco · 09.Март.2022 17:44:11

Чтобы мы могли вам помочь, вам нужно предоставить URL вашего сайта.

GreenOWL · 09.Март.2022 17:47:38

Я могу отправить это тебе в ЛС?

GreenOWL · 09.Март.2022 18:06:37

Хм…

Кажется, я нашел причину: проблема возникает из-за того, что я использую мета-тег CSP в своей теме:

<meta http-equiv="Content-Security-Policy" content="img-src https://imgur.com https://giphy.com">

Мне нужно использовать директиву img-src, чтобы ограничить отображение изображений с запрещенных хостов.

Falco · 09.Март.2022 18:36:34

Да, эта директива CSP действительно полностью сломает Discourse.

GreenOWL · 09.Март.2022 18:53:10

Как я могу изменить директивы CSP по умолчанию в заголовке, добавив img-src, не используя мета-тег? Я пробую это в Rails, но ничего не меняется:

Rails.application.config.action_dispatch.default_headers.merge!({'Content-Security-Policy' => "upgrade-insecure-requests; base-uri 'self'; object-src 'none'; script-src https://mydomain.com/logs/ https://mydomain.com/sidekiq/ https://mydomain.com/mini-profiler-resources/ https://mydomain.com/assets/ https://mydomain.com/brotli_asset/ https://mydomain.com/extra-locales/ https://mydomain.com/highlight-js/ https://mydomain.com/javascripts/ https://mydomain.com/plugins/ https://mydomain.com/theme-javascripts/ https://mydomain.com/svg-sprite/; worker-src 'self' https://mydomain.com/assets/ https://mydomain.com/brotli_asset/ https://mydomain.com/javascripts/ https://mydomain.com/plugins/; frame-ancestors 'self'; manifest-src 'self'; img-src data: https://mydomain.com https://imgur.com"})

GreenOWL · 09.Март.2022 21:07:58

Я удалил этот мета-тег, пересобрал, и проблема решилась

Тема		Ответов	Просм.
Refuse to reload script (CORS) with my settings Support	1	1140	31.01.2021
After upgrade the content security policy script src for GTM Data & reporting	4	1916	13.04.2021
Can't get script tag to work in landing pages plugin due to content-security-policy Support	5	178	01.07.2025
Mitigate XSS Attacks with Content Security Policy Site Management content-security-policy , how-to	32	24774	13.06.2023
Add CSP nonce-source support Development	12	4061	02.11.2018

Как исправить проблему с CSP

Связанные темы