有没有人使用 nginx 作为反向代理,弄清楚了配置 style-src 的正确语法?
我很想看到一个有效的 CSP add header 来实现 CSP
图片来源:版主。
您的截图中的 Discourse 没有发送 default-src 'self' 标头。因此,它很可能由您的 NGINX 代理配置引入。您能分享一下吗?(请确保删除任何敏感内容)
1 个赞
是的,这正是我想要的 add_header Content Security Policy default-src ‘self’;
我现在无法在线访问它。
我似乎找不到设置和添加 style-src 并消除错误的方法。
Discourse 会设置自己的 CSP 标头 - 无需自行添加。
因此,您应该从 NGINX 配置中删除此行,或添加一个条件来排除 Discourse。
是的,我做了,还是同样的问题。
作为测试,我甚至添加了 unsafe-inline,登录渲染和群组头像仍然存在同样的问题。
如果我注释掉策略,一切都会按预期工作。
That’s good. Commenting out the NGINX config means that the CSP header set by Discourse should be passed through 
3 个赞
我会尝试一下,看看 securityheaders.com 显示什么。我还会回来的……
运行效果很好,从 nginx.conf 中移除 CSP 并让 Discourse 处理。A+ 头部评级。
我实在想不起来当初为什么选择安装 nginx 和反向代理,而不是直接开箱即用。
1 个赞
此主题在 22 小时后自动关闭。不再允许回复。