هل استخدم أي شخص nginx كوكيل عكسي ووجد الصيغة الصحيحة لتكوين style-src؟
أود أن أرى ترويسة إضافية تعمل لـ CSP
يذهب الفضل للمشرف على الصورة.
إعجاب واحد (1)
لا يرسل Discourse رأس default-src 'self' في لقطة الشاشة الخاصة بك. لذلك، من المحتمل جدًا أن يتم تقديمه بواسطة تكوين وكيل NGINX الخاص بك. هل يمكنك مشاركته؟ (مع التأكد من إزالة أي محتوى حساس)
إعجاب واحد (1)
نعم، هذا هو بالضبط ما في add_header Content Security Policy default-src 'self';
لا يمكنني الوصول إليه عبر الإنترنت حاليًا.
لا يمكنني العثور على السحر لتعيين style-src وإزالة الأخطاء.
يضبط Discourse رأس CSP الخاص به - لا داعي لإضافة رأس خاص بك.
لذلك، يجب عليك إما إزالة هذا السطر من تكوين NGINX الخاص بك، أو إضافة شرط لاستبعاد Discourse منه.
نعم، فعلت ذلك، نفس المشكلة.
كاختبار، أضفت حتى unsafe-inline، ولا تزال نفس المشكلة مع عرض تسجيل الدخول وصور المجموعات.
إذا علقت السياسة، فإن كل شيء يعمل كما هو متوقع..
هذا جيد. التعليق على تكوين NGINX يعني أنه يجب تمرير رأس CSP الذي تم تعيينه بواسطة Discourse 
3 إعجابات
سأجرب ذلك وأرى ما يظهره securityheaders.com. سأعود…
يعمل بشكل رائع، تمت إزالة CSP من nginx.conf والسماح لـ Discourse بالتعامل معها. تصنيف رأس A+.
لأجل حياتي، لا أستطيع أن أتذكر لماذا قررت استخدام تثبيت nginx ووكيل عكسي بدلاً من مجرد استخدام ما هو جاهز.
إعجاب واحد (1)
تم إغلاق هذا الموضوع تلقائيًا بعد 22 ساعة. لم يعد الرد على المواضيع الجديدة مسموحًا به.