¿Alguien que use nginx como proxy inverso ha descubierto la sintaxis correcta para configurar style-src?
Me encantaría ver un encabezado add de CSP que funcione para CSP
El crédito de la imagen es para el moderador.
Discourse no envía el encabezado default-src 'self' en tu captura de pantalla. Por lo tanto, es muy probable que sea introducido por la configuración de tu proxy NGINX. ¿Puedes compartirla? (asegúrate de redactar cualquier contenido confidencial)
1 me gusta
Sí, eso es exactamente lo que hay en mi add_header Content Security Policy default-src ‘self’;
En realidad, no puedo acceder a él en línea ahora mismo.
No parece que pueda encontrar la magia para configurar y añadir style-src y deshacerme de los errores.
Discourse establece su propia cabecera CSP; no es necesario que añadas la tuya.
Por lo tanto, deberías eliminar esta línea de tu configuración de NGINX o añadir una condición para excluir Discourse de ella.
Sí, hice eso, mismo problema.
Como prueba, incluso agregué unsafe-inline, todavía mismo problema con la representación del inicio de sesión y los avatares de grupo.
Si comento la política, todo funciona como se esperaba.
Eso es bueno. Comentar la configuración de NGINX significa que la cabecera CSP establecida por Discourse debería pasar 
3 Me gusta
Lo intentaré y veré qué muestra securityheaders.com. Volveré…
Funciona muy bien, eliminando CSP de nginx.conf y permitiendo que Discourse lo maneje. Calificación de encabezado A+.
Por nada del mundo, no recuerdo por qué decidí usar una instalación de nginx y un proxy inverso en lugar de simplemente usarlo tal como viene.
1 me gusta
Este tema se cerró automáticamente después de 22 horas. Ya no se permiten nuevas respuestas.