テーマコンポーネント：「extend content security policy」の値が無効

michaeld · 2025 年 2 月 6 日午後 12:26

症状：3.4へのアップデート後、フォーラム全体で「Oops」と表示されるようになりました。さらに悪いことに、ログには何も記録されませんでした。

「extend security policy」というテーマコンポーネントがあり、その値は script-src: 'unsafe-eval' https://redacted.example.com でした。

これは、値にスペースが含まれていたため、アクションディスパッチャーで例外が発生し、フォーラム全体がクラッシュしました。

ActionDispatch::ContentSecurityPolicy::InvalidDirectiveError (無効なContent Security Policy script-src: \\\"'unsafe-eval' https://redacted.example.com\\\". ディレクティブの値に空白やセミコロンを含めることはできません。代わりに複数の引数や他のディレクティブメソッドを使用してください。)

ああ、最も重要なことを忘れていました。セーフモードが機能しませんでした!!

kelv · 2025 年 2 月 7 日午後 12:42

さらに詳しく調べて、折り返しご連絡いたします。3.4へのアップグレード前のフォーラムのDiscourseのバージョンは何でしたか？

michaeld · 2025 年 2 月 7 日午後 3:46

それは3.3.3でした。

kelv · 2025 年 2 月 11 日午前 4:09

@michaeld さん、FIX: invalid CSP directive sources should allow site to boot with valid CSP directives by tyb-talks · Pull Request #31256 · discourse/discourse · GitHub で最新の main に修正をマージしました。これは現在 tests-passed および stable でも利用可能です。

CSP ディレクティブの処理におけるこの動作の変更は、Rails のバックポートされたセキュリティパッチに由来するものです。PR でさらに詳しく説明しています。 Discourse は、CSP を構築する前にそのような値をフィルタリングするようになります。

セーフモードに関しては、JavaScript のみを無効にするため、このデータはサーバー側で処理されるため、ここでは役に立ちませんでした。

j.jaffeux · 2025 年 2 月 14 日午前 8:07

このトピックは、最後の返信から3日後に自動的にクローズされました。新しい返信は許可されていません。

トピック		返信	表示
After upgrade the content security policy script src for GTM Data & reporting	4	1857	2021 年 4 月 13 日
Cannot add content security policy script src Support	2	84	2025 年 1 月 1 日
Mitigate XSS Attacks with Content Security Policy Site Management how-to , content-security-policy	32	24251	2023 年 6 月 13 日
Content-Security-Policy now uses 'strict-dynamic' Announcements	13	1573	2024 年 9 月 2 日
Discourse refused to load with CSP policy error after rebuild Support	5	2824	2022 年 9 月 5 日

テーマコンポーネント：「extend content security policy」の値が無効

関連トピック