リバースプロキシとしてnginxを使用している方で、style-srcの正しい設定方法を見つけた方はいらっしゃいますか?
動作するCSPのadd headerをCSP用に見てみたいです。
画像クレジットはモデレーターに。
Discourse は、スクリーンショットの default-src 'self' ヘッダーを送信していません。そのため、NGINX プロキシ構成で導入されている可能性が非常に高いです。共有していただけますか?(機密情報が削除されていることを確認してください)
「いいね!」 1
はい、まさにそれが私の add_header Content Security Policy default-src 'self'; に入っているものです。
現在オンラインでアクセスできません。
style-src を設定してエラーを解消する魔法が見つかりません。
Discourse は独自の CSP ヘッダーを設定するため、自分で追加する必要はありません。
したがって、この行を NGINX 設定から削除するか、Discourse を除外する条件を追加する必要があります。
はい、それを実行しましたが、問題は同じです。
テストとして unsafe-inline を追加しましたが、ログインのレンダリングとグループアバターの問題は同じです。
ポリシーをコメントアウトすると、すべて期待どおりに機能します。
NGINX の設定をコメントアウトすると、Discourse によって設定された CSP ヘッダーが渡されるはずです 
「いいね!」 3
それを試してみて、securityheaders.com が何を示すか見てみます。また来ます…
素晴らしい、nginx.conf から CSP を削除し、Discourse に処理させることにしました。ヘッダー評価は A+ です。
なぜ、最初から用意されているものを使うのではなく、nginx をインストールしてリバースプロキシを使用することにしたのか、どうしても思い出せません。
「いいね!」 1
このトピックは22時間後に自動的に閉じられました。新しい返信はもう許可されていません。