Tastiera e mouse hanno smesso di funzionare + errore content-security-policy

ygramoel · 6 Novembre 2023, 10:58am

Sto eseguendo un’istanza self-hosted di Discourse su forum.embeetle.com. È in funzione da diversi anni.

Stamattina ho notato che tutte le interazioni da tastiera e mouse con il forum nel browser hanno smesso di funzionare. Posso caricare qualsiasi pagina del forum, ma non posso scorrere, accedere, cercare, ecc.

Ho provato sia Firefox che Chromium: stesso problema.

Gli strumenti per sviluppatori di Firefox mostrano questo errore:

Content-Security-Policy: Le impostazioni della pagina hanno bloccato il caricamento di una risorsa da inline ("script-src"). forum.embeetle.com:362:10

Non ho recentemente effettuato aggiornamenti o installato nuovi plugin.

Qualsiasi suggerimento su come posso eseguire il debug e risolvere questo problema?

Per quanto ne so, ho un’installazione standard basata su Docker, tranne per il fatto che la sto eseguendo dietro un proxy inverso Nginx. Configurazione Nginx di seguito (non sono sicuro che sia rilevante):

server {
    server_name forum.embeetle.com;
    listen 443 ssl http2;
    listen [::]:443 ssl http2;
    ssl_certificate /etc/letsencrypt/live/embeetle/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/embeetle/privkey.pem;
    include /etc/letsencrypt/options-ssl-nginx.conf;
    ssl_dhparam /etc/letsencrypt/ssl-dhparams.pem;
    access_log /var/log/nginx/forum.embeetle.access.log;
    error_log /var/log/nginx/forum.embeetle.error.log;

    location / {
         proxy_pass http://unix:/srv/embeetle_forum/discourse/shared/standalone/nginx.http.sock:;
         proxy_set_header Host $http_host;
         proxy_http_version 1.1;
         proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
         proxy_set_header X-Forwarded-Proto $scheme;
         proxy_set_header X-Real-IP $remote_addr;
        error_page 502 =502 /error/offline.html;
        proxy_intercept_errors on;
     }

     location /error/ {
         alias /srv/embeetle_forum/error/;
     }
}

server {
    server_name forum.embeetle.com;
    listen 80;
    listen [::]:80;
    return 301 https://$host$request_uri;
}

Moin · 6 Novembre 2023, 11:25am

Sembra che il tuo sito funzioni correttamente in modalità provvisoria con i temi disabilitati.

ygramoel · 6 Novembre 2023, 12:06pm

Hai ragione.

Non ricordo di aver mai impostato un tema predefinito, ma forse l’ho fatto e me ne sono dimenticato.

Vorrei disabilitare temporaneamente i temi per impostazione predefinita, in modo che il nostro forum sia utilizzabile mentre cerchiamo di capire cosa c’è che non va con i temi. Come posso farlo, se posso accedere alle pagine di amministrazione solo con i temi disabilitati? In modalità provvisoria, tutti i temi sono già disabilitati e attivarli e poi disattivarli di nuovo sembra non avere alcun effetto.

Ci sono tre temi disponibili (vedi sotto). Nessuno di essi è abilitato per impostazione predefinita.

Inoltre, in modalità provvisoria non ci sono errori Content-Security-Policy.

Bas · 6 Novembre 2023, 1:25pm

Strano, per me in Safari, segnala che si rifiuta di eseguire la riga 315. Che è lo script inline per il preloader Discourse-spash. Quindi non correlato al tema.

Per una soluzione immediata, potresti disabilitare CSP utilizzando un’impostazione del sito:
Screenshot 2023-11-06 at 14.24.11

Solo speculando: se il problema persiste, potrebbe essere il tuo ambiente server che invia qualcosa di inaspettato. O un altro script che interferisce (stai eseguendo plugin personalizzati o altri script?)

Nota che questo ti lascerà in uno stato vulnerabile e dovrebbe essere risolto al più presto. Ma almeno il tuo forum funzionerà di nuovo.

ygramoel · 6 Novembre 2023, 1:47pm

Sì, è esattamente quello che sta succedendo a me.

Per ora ho implementato un workaround diverso, aggiungendo una riscrittura nella configurazione nginx (a livello di server) come segue:

    rewrite ^(.*)$ $1?safe_mode=no_themes break;

Quindi i visitatori utilizzeranno la modalità sicura per impostazione predefinita ora.

Per consentire un’ulteriore esplorazione di questo problema, ho anche duplicato il server del forum senza la rewrite su https://raw.forum.embeetle.com. Se visiti quell’URL, vedrai ancora il problema originale.

Non sto usando script personalizzati. Sto usando alcuni plugin, sperimenterò se disabilitarne qualcuno avrà qualche effetto.

ygramoel · 6 Novembre 2023, 1:56pm

Questi sono i plugin che sto utilizzando:

chat era già disabilitato.

Ho provato a disabilitare discourse-math, footnote e spoiler-alert; il problema persiste.

ygramoel · 6 Novembre 2023, 3:06pm

Trovato: era effettivamente un problema con la mia configurazione nginx che ora emetteva accidentalmente un’intestazione Content-Security-Policy troppo restrittiva per Discourse.

La rimozione di Content-Security-Policy ha risolto il mio problema.

system · 6 Dicembre 2023, 3:07pm

This topic was automatically closed 30 days after the last reply. New replies are no longer allowed.

Argomento		Risposte	Visualizzazioni
External nginx pagespeed module causes Security Policy violation Installation	13	1820	Luglio 30, 2019
Nginx as reverse proxy and Content Security Policy issue Installation nginx	8	2306	Agosto 21, 2024
Topic Preview Broken (due to Google PageSpeed Module) Support	15	2096	Agosto 31, 2017
Mitigate XSS Attacks with Content Security Policy Site Management how-to , content-security-policy	32	24256	Giugno 13, 2023
Front page of discourse missing content Installation	7	2539	Giugno 8, 2024

Tastiera e mouse hanno smesso di funzionare + errore content-security-policy

Argomenti correlati