配置Django生产设置和内容安全策略

Question

我试图将我的站点配置为通过以下测试：

• https://observatory.mozilla.org
• https://csp-evaluator.withgoogle.com/

我一直在看这个博客帖子。我正在使用Django应用程序名为django-csp来实现这一点。我在生产中的Django设置如下：

# Content Security Policy
CSP_DEFAULT_SRC = ("'none'", )
CSP_STYLE_SRC = ("'self'", "fonts.googleapis.com", "'sha256-/3kWSXHts8LrwfemLzY9W0tOv5I4eLIhrf0pT8cU0WI='")
CSP_SCRIPT_SRC = ("'self'", )
CSP_IMG_SRC = ("'self'",)
CSP_FONT_SRC = ("'self'", "fonts.gstatic.com")
CSP_CONNECT_SRC = ("'self'", )
CSP_OBJECT_SRC = ("'none'", )
CSP_BASE_URI = ("'none'", )
CSP_FRAME_ANCESTORS = ("'self'", 'https://example.com/', 'https://example.com/')
CSP_FORM_ACTION = ("'self'", )
CSP_INCLUDE_NONCE_IN = ('script-src',)

CSRF_COOKIE_SECURE = True
SESSION_COOKIE_SECURE = True
SECURE_CONTENT_TYPE_NOSNIFF = True
SECURE_BROWSER_XSS_FILTER = True
SECURE_SSL_REDIRECT = True
X_FRAME_OPTIONS = 'DENY'
SECURE_HSTS_SECONDS = 60
SECURE_HSTS_INCLUDE_SUBDOMAINS = True
SECURE_HSTS_PRELOAD = True

然而，当我运行上述测试时，即使有上面的设置，我也失败了。此外，在Chrome工具中，我没有收到任何错误，这是很棒的。

​

​

有人对此有什么建议吗？谢谢

更新：

我正在通过Heroku部署这个应用程序。当我用Mozilla天文台测试appname.herokuapp.com url时，我通过了所有的测试。

似乎当我将域appname.herokuapp.com转发到mywebsite.com时，会跳过一些设置吗？我用mywebsite.com考试不及格

我增加了CNAME作为自定义Heroku DNS的价值。

Answer 1

事实上，我的问题在于我配置DNS设置的方式。我保留了自己的Django产品设置(见上文)。

我在Heroku设置中添加了一个自定义域，并在Cloudflare中的CNAME设置中使用了自动生成的服务器名。

然后我在Mozilla天文台做了一次检查并通过了测试。