Qualcuno che usa nginx come reverse proxy ha capito la sintassi corretta per configurare style-src?
Mi piacerebbe vedere un header add_header CSP funzionante per CSP
Il credito per l’immagine va al moderatore.
1 Mi Piace
Discourse non invia l’header default-src 'self' nello screenshot. Quindi, è molto probabile che sia introdotto dalla configurazione del tuo proxy NGINX. Puoi condividerla? (assicurandoti di oscurare qualsiasi contenuto sensibile)
1 Mi Piace
Sì, è esattamente quello che c’è nel mio add_header Content Security Policy default-src ‘self’;
Al momento non riesco ad accedervi online.
Non riesco a trovare la magia per impostare e aggiungere style-src ed eliminare gli errori.
Discourse imposta il proprio header CSP: non è necessario aggiungerne uno proprio.
Pertanto, dovresti rimuovere questa riga dalla tua configurazione NGINX o aggiungere una condizione per escludere Discourse da essa.
Sì, l’ho fatto, stesso problema.
Come test ho anche aggiunto unsafe-inline, ancora lo stesso problema con il rendering del login e gli avatar dei gruppi.
Se commento la policy, funziona tutto come previsto.
È un buon segno. Commentare la configurazione NGINX significa che l’header CSP impostato da Discourse dovrebbe essere trasmesso 
3 Mi Piace
Ci proverò e vedrò cosa mostra securityheaders.com. Tornerò…
Funziona alla grande, rimuovendo CSP da nginx.conf e lasciando che Discourse lo gestisca. Valutazione header A+. Per quanto ci provi, non riesco a ricordare perché ho deciso di optare per un’installazione nginx e un proxy inverso invece di usare semplicemente la soluzione standard.
1 Mi Piace
Questo argomento è stato chiuso automaticamente dopo 22 ore. Non sono più consentite nuove risposte.