Кто-нибудь, использующий nginx в качестве обратного прокси, разобрался с правильным синтаксисом для настройки style-src?
Мне бы очень хотелось увидеть работающий заголовок CSP для CSP.
Авторство изображения принадлежит модератору.
На скриншоте видно, что Discourse не отправляет заголовок default-src 'self'. Скорее всего, он добавляется конфигурацией вашего прокси-сервера NGINX. Можете ли вы её предоставить? (не забудьте удалить любую конфиденциальную информацию)
Да, именно это указано в моём заголовке Content Security Policy: default-src ‘self’;
Сейчас я не могу получить к нему доступ онлайн.
Я не могу найти правильное решение, чтобы добавить style-src и устранить ошибки.
Discourse устанавливает свой собственный заголовок CSP — добавлять свой не нужно.
Поэтому вам следует либо удалить эту строку из конфигурации NGINX, либо добавить условие, чтобы исключить из неё Discourse.
Да, пробовал, та же проблема.
В качестве теста я даже добавил unsafe-inline, но проблема с отображением входа и аватарами групп осталась.
Если закомментировать политику, всё работает как положено.
Отлично. Комментирование конфигурации NGINX означает, что заголовок CSP, установленный Discourse, должен передаваться дальше 
Я попробую это сделать и посмотрю, что покажет securityheaders.com. Я вернусь…
Отлично работает: убрал CSP из nginx.conf и позволил Discourse самому управлять им. Оценка за заголовки — A+.
Хоть убей, не могу вспомнить, почему я решил установить nginx и настроить обратный прокси, вместо того чтобы использовать всё «из коробки».