Alguém que usa nginx como proxy reverso descobriu a sintaxe correta para configurar style-src?
Eu adoraria ver um cabeçalho add funcional do CSP para CSP
O crédito pela imagem vai para o moderador.
O Discourse não envia o cabeçalho default-src 'self' na sua captura de tela. Portanto, é muito provável que ele esteja sendo introduzido pela sua configuração de proxy NGINX. Você pode compartilhá-la? (certificando-se de remover qualquer conteúdo sensível)
1 curtida
Sim, é exatamente isso que está no meu add_header Content Security Policy default-src ‘self’;
Na verdade, não consigo acessá-lo online agora.
Não consigo encontrar a mágica para definir e adicionar style-src e me livrar dos erros.
O Discourse define seu próprio cabeçalho CSP - não há necessidade de adicionar o seu.
Portanto, você deve remover esta linha da sua configuração do NGINX ou adicionar uma condição para excluir o Discourse dela.
Sim, fiz isso, mesmo problema.
Como teste, até adicionei unsafe-inline, ainda o mesmo problema com a renderização do login e os avatares dos grupos.
Se eu comentar a política, tudo funciona como esperado.
Isso é bom. Comentar a configuração do NGINX significa que o cabeçalho CSP definido pelo Discourse deve ser repassado 
3 curtidas
Tentarei isso e verei o que o securityheaders.com mostra. Voltarei…
Funciona muito bem, removendo o CSP do nginx.conf e permitindo que o Discourse o gerencie. Classificação de cabeçalho A+. Pelo resto da minha vida, não consigo me lembrar por que decidi usar uma instalação nginx e um proxy reverso em vez de apenas usar o que vem pronto de fábrica.
1 curtida
Este tópico foi fechado automaticamente após 22 horas. Novas respostas não são mais permitidas.