Keycloak +Proxy(nginx) CSP-报头问题({{notification.header}} {notification.message}})

Question

我目前在将Keycloak部署到服务器时遇到了一些问题。

服务器运行在Nginx代理后面。自己正在码头-容器内运行。一切都很好，直到我尝试添加CSP-标头。我仍然可以在/auth打开默认页面，但是当我尝试输入管理部分时，我只收到一个文本通知。

{{notification.header}} {{notification.message}}

通知的图像

设置

• Ubuntu 20.04
• 密钥披风13.0.1

Keyclaok设置

add_header Content-Security-Policy "default-src 'self'; fame-ancestors 'self'; object-src 'none' "

Answer 1

您要设置的CSP太紧了， (default-src 'self'是问题所在)。不幸的是，Keycloak需要一些unsafe-*策略(至少在第13版中)才能正常工作。我遇到了同样的问题。

它适用于我的设计

default-src 'self'; style-src 'self' 'unsafe-inline'; script-src 'self' 'unsafe-inline' 'unsafe-eval'; img-src 'self'; connect-src 'self'; form-action 'self'; frame-ancestors 'self'; object-src 'none';

但是要注意，由于有了unsafe-*条目，它根本就不太安全。

密钥披风15.0.2的更新

对于Keycloak 15.0.2，不再需要'unsafe-eval'！因此，可以使用以下CSP：

default-src 'self'; style-src 'self' 'unsafe-inline'; script-src 'self' 'unsafe-inline'; img-src 'self'; connect-src 'self'; form-action 'self'; frame-ancestors 'self'; object-src 'none';