Quelqu’un utilisant nginx comme proxy inverse a-t-il trouvé la bonne syntaxe pour configurer style-src ?
J’aimerais voir un en-tête add CSP fonctionnel pour CSP
Le crédit pour l’image revient au modérateur.
Discourse n’envoie pas l’en-tête default-src 'self' dans votre capture d’écran. Il est donc très probable qu’il soit introduit par votre configuration de proxy NGINX. Pouvez-vous la partager ? (en veillant à supprimer tout contenu sensible)
1 « J'aime »
Oui, c’est exactement ce qu’il y a dans mon add_header Content Security Policy default-src ‘self’;
Je ne peux pas y accéder en ligne pour le moment.
Je n’arrive pas à trouver la formule magique pour définir et ajouter style-src et supprimer les erreurs.
Discourse définit son propre en-tête CSP - il n’est pas nécessaire d’en ajouter un.
Vous devriez donc soit supprimer cette ligne de votre configuration NGINX, soit ajouter une condition pour exclure Discourse de celle-ci.
Oui, j’ai fait ça, même problème.
Par test, j’ai même ajouté unsafe-inline, toujours le même problème avec le rendu de la connexion et les avatars de groupe.
Si je commente la politique, tout fonctionne comme prévu.
C’est une bonne chose. Commenter la configuration NGINX signifie que l’en-tête CSP défini par Discourse devrait être transmis 
3 « J'aime »
J’essaierai cela et verrai ce que securityheaders.com affiche. Je reviendrai…
Fonctionne très bien, suppression du CSP de nginx.conf et laisser Discourse s’en charger. Note A+ pour les en-têtes.
Pour rien au monde, je ne me souviens pourquoi j’ai décidé d’opter pour une installation nginx et un proxy inverse plutôt que d’utiliser la solution prête à l’emploi.
1 « J'aime »
Ce sujet a été automatiquement fermé après 22 heures. Les nouvelles réponses ne sont plus autorisées.