Teclado e mouse pararam de funcionar + erro de content-security-policy

ygramoel · Novembro 6, 2023, 10:58am

Estou executando uma instância auto-hospedada do Discourse em forum.embeetle.com. Ele tem funcionado bem por vários anos.

Esta manhã, notei que toda a interação do teclado e mouse com o fórum no navegador parou de funcionar. Posso carregar qualquer página do fórum, mas não consigo rolar, fazer login, pesquisar, …

Tentei tanto o Firefox quanto o Chromium: o mesmo problema.

As ferramentas de desenvolvedor do Firefox mostram este erro:

Content-Security-Policy: As configurações da página bloquearam o carregamento de um recurso em inline (“script-src”). forum.embeetle.com:362:10

Não fiz nenhuma atualização recentemente nem instalei novos plugins.

Alguma sugestão sobre como posso depurar e corrigir isso?

Pelo que sei, tenho uma instalação padrão baseada em docker, exceto que a estou executando atrás de um proxy reverso Nginx. Configuração do Nginx abaixo (não tenho certeza se é relevante):

server {
    server_name forum.embeetle.com;
    listen 443 ssl http2;
    listen [::]:443 ssl http2;
    ssl_certificate /etc/letsencrypt/live/embeetle/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/embeetle/privkey.pem;
    include /etc/letsencrypt/options-ssl-nginx.conf;
    ssl_dhparam /etc/letsencrypt/ssl-dhparams.pem;
    access_log /var/log/nginx/forum.embeetle.access.log;
    error_log /var/log/nginx/forum.embeetle.error.log;

    location / {
         proxy_pass http://unix:/srv/embeetle_forum/discourse/shared/standalone/nginx.http.sock:;
         proxy_set_header Host $http_host;
         proxy_http_version 1.1;
         proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
         proxy_set_header X-Forwarded-Proto $scheme;
         proxy_set_header X-Real-IP $remote_addr;
        error_page 502 =502 /error/offline.html;
        proxy_intercept_errors on;
     }

     location /error/ {
         alias /srv/embeetle_forum/error/;
     }
}

server {
    server_name forum.embeetle.com;
    listen 80;
    listen [::]:80;
    return 301 https://$host$request_uri;
}

Moin · Novembro 6, 2023, 11:25am

Parece que seu site funciona bem no modo de segurança com os temas desativados.

ygramoel · Novembro 6, 2023, 12:06pm

Você está certo.

Eu não me lembro de ter definido um tema como padrão, mas talvez eu tenha feito e esquecido.

Gostaria de desativar temporariamente os temas por padrão, para que nosso fórum fique utilizável enquanto descobrimos o que há de errado com os temas. Como posso fazer isso, se só consigo acessar as páginas de administração com os temas desativados? No modo de segurança, todos os temas já estão desativados, e ativá-los e desativá-los novamente parece não ter efeito.

Existem três temas disponíveis (veja abaixo). Nenhum deles está ativado por padrão.

Além disso, no modo de segurança não há erro de Content-Security-Policy.

Bas · Novembro 6, 2023, 1:25pm

Estranho, para mim no Safari, ele está relatando que se recusa a executar a linha 315. Que é o script inline para o pré-carregador Discourse-spash. Portanto, não relacionado ao tema.

Para uma correção imediata, você pode desabilitar o CSP usando uma configuração do site:
Screenshot 2023-11-06 at 14.24.11

Apenas especulando: Se o problema persistir, pode ser que seu ambiente de servidor esteja enviando algo inesperado. Ou outro script interferindo (você está executando algum plugin personalizado ou outros scripts?)

Note que isso o deixará em um estado vulnerável e deve ser resolvido o mais rápido possível. Mas pelo menos seu fórum está funcionando novamente.

ygramoel · Novembro 6, 2023, 1:47pm

Sim, é exatamente isso que está acontecendo comigo.

Implementei uma solução alternativa diferente por enquanto, adicionando um rewrite na configuração do nginx (no nível do servidor) da seguinte forma:

    rewrite ^(.*)$ $1?safe_mode=no_themes break;

Portanto, os visitantes usarão o modo seguro por padrão agora.

Para permitir uma exploração mais aprofundada deste problema, também dupliquei o servidor do fórum sem o rewrite em https://raw.forum.embeetle.com. Se você visitar esse URL, ainda verá o problema original.

Não estou usando nenhum script personalizado. Estou usando alguns plugins, vou experimentar se desativar algum deles terá algum efeito.

ygramoel · Novembro 6, 2023, 1:56pm

Estes são os plugins que estou usando:

chat já estava desativado.

Tentei desativar discourse-math, footnote e spoiler-alert; o problema persiste.

ygramoel · Novembro 6, 2023, 3:06pm

Encontrado: foi realmente um problema com minha configuração do nginx que agora emitiu acidentalmente um cabeçalho Content-Security-Policy muito restritivo para o Discourse.

Remover o Content-Security-Policy corrigiu meu problema.

system · Dezembro 6, 2023, 3:07pm

This topic was automatically closed 30 days after the last reply. New replies are no longer allowed.

Tópico		Respostas	Visualizações
External nginx pagespeed module causes Security Policy violation Installation	13	1820	30 de Julho de 2019
Nginx as reverse proxy and Content Security Policy issue Installation nginx	8	2306	21 de Agosto de 2024
Topic Preview Broken (due to Google PageSpeed Module) Support	15	2096	31 de Agosto de 2017
Mitigate XSS Attacks with Content Security Policy Site Management how-to , content-security-policy	32	24256	13 de Junho de 2023
Front page of discourse missing content Installation	7	2539	8 de Junho de 2024

Teclado e mouse pararam de funcionar + erro de content-security-policy

Tópicos relacionados