Hat jemand nginx als Reverse-Proxy verwendet und die richtige Syntax für style-src herausgefunden?
Ich würde gerne einen funktionierenden CSP-Header für CSP sehen
Die Bildrechte liegen beim Moderator.
1 „Gefällt mir“
Discourse sendet in Ihrem Screenshot nicht den Header default-src 'self'. Es wird also sehr wahrscheinlich von Ihrer NGINX-Proxy-Konfiguration eingeführt. Können Sie diese teilen? (Achten Sie darauf, sensible Inhalte zu schwärzen)
1 „Gefällt mir“
Ja, das ist genau das, was in meiner add_header Content Security Policy default-src ‘self’; steht.
Ich kann derzeit nicht online darauf zugreifen.
Ich kann den Zauber nicht finden, um style-src zu setzen und die Fehler zu beseitigen.
Discourse setzt seinen eigenen CSP-Header – es ist nicht notwendig, einen eigenen hinzuzufügen.
Sie sollten diese Zeile entweder aus Ihrer NGINX-Konfiguration entfernen oder eine Bedingung hinzufügen, um Discourse davon auszuschließen.
Ja, das habe ich gemacht, dasselbe Problem.
Zum Testen habe ich sogar unsafe-inline hinzugefügt, immer noch dasselbe Problem mit der Darstellung des Logins und den Gruppenavataren.
Wenn ich die Richtlinie auskommentiere, funktioniert alles wie erwartet.
Das ist gut. Wenn die NGINX-Konfiguration auskommentiert wird, bedeutet dies, dass der von Discourse gesetzte CSP-Header weitergegeben wird 
3 „Gefällt mir“
Ich werde das versuchen und sehen, was securityheaders.com anzeigt. Ich komme wieder…
Funktioniert super, CSP aus nginx.conf entfernt und Discourse die Handhabung überlassen. A+ Header-Bewertung.
Ich kann mich beim besten Willen nicht erinnern, warum ich mich für eine Nginx-Installation und einen Reverse-Proxy entschieden habe, anstatt die Standardeinstellungen zu verwenden.
1 „Gefällt mir“
Dieses Thema wurde nach 22 Stunden automatisch geschlossen. Neue Antworten sind nicht mehr möglich.