文档建议反馈控制台
首页
学习
活动
专区
圈层
工具
MCP广场
文章/答案/技术大牛
发布
社区首页 >问答首页 >未确认Nginx content-security-policy

未确认Nginx content-security-policy
EN

Stack Overflow用户
提问于 2020-08-09 06:28:49
回答 1查看 1.8K关注 0票数 1

我已经配置了一个Nginx WordPress站点和一些代理重定向。我已经尝试将CSP头添加到我的nginx.conf、我的WordPress站点/代理重定向站点文件以及这两个文件中。出于测试目的,我将其设置为以下值(其中example.com是我的域):

代码语言:javascript
复制
add_header Content-Security-Policy "default-src 'unsafe-inline' 'unsafe-eval' 'self' https://example.com;
                                    script-src 'unsafe-inline' 'unsafe-eval' 'self' https://example.com 'unsafe-inline' 'unsafe-eval' https://*.wp.com  https://ssl.google-analytics.com https:/$
                                    img-src 'unsafe-inline' 'unsafe-eval' 'self' https://example.com 'unsafe-inline' 'unsafe-eval' https://example.com https://ssl.google-analytics.c$
                                    style-src 'unsafe-inline' 'unsafe-eval' 'self' https://example.com 'unsafe-inline' 'unsafe-eval' https://example.com https://fonts.googleapis.com$
                                    font-src 'unsafe-inline' 'unsafe-eval' 'self' https://example.com 'unsafe-inline' 'unsafe-eval' https://example.com https://blog.hellodadiam.worl$
                                    frame-src 'unsafe-inline' 'unsafe-eval' 'self' https://example.com 'unsafe-inline' 'unsafe-eval' https://example.com https://assets.zendesk.com h$
                                    object-src 'unsafe-inline' 'unsafe-eval' 'self' https://example.com 'unsafe-inline' https://example.com;"
                                    always;

当我查看我的浏览器控制台时,我仍然得到这个CSP:

代码语言:javascript
复制
Content-Security-Policy: default-src 'none'; frame-ancestors 'none'; script-src 'self'; img-src 'self'; style-src 'self'; base-uri 'self'; form-action 'self';

奇怪的是,这似乎不会影响Firefox,即使它获得与其他浏览器相同的头文件。

对于代理,当我直接连接到它们时,它们工作得很好,所以它一定是Nginx的东西。

我是不是遗漏了什么,或者我配置错了什么?

nginx
content-security-policy
EN

回答 1

Stack Overflow用户

回答已采纳

发布于 2020-08-10 03:03:27

我意识到我只是有点惊慌。我再次查看了Nginx配置,发现了Certbot自动添加的一个选项文件。里面有我要找的被锁住的CSP。我只是注释掉了这行代码,一切都很正常。

Certbot在站点配置文件中添加了以下行:

代码语言:javascript
复制
include /etc/letsencrypt/options-ssl-nginx.conf; # managed by Certbot

在该文件中是我在浏览器上看到的CSP:

代码语言:javascript
复制
add_header Content-Security-Policy "default-src 'none'; frame-ancestors 'none'; script-src 'self'; img-src 'self'; style-src 'self'; base-uri 'self'; form-action 'self';";
票数 0
EN
页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:

https://stackoverflow.com/questions/63320797

复制
相关文章

相似问题

领券

腾讯云开发者

扫码关注腾讯云开发者

扫码关注腾讯云开发者

领取腾讯云代金券

热门产品

热门推荐

更多推荐

Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有 

深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 粤公网安备44030502008569号

腾讯云计算(北京)有限责任公司 京ICP证150476号 |  京ICP备11018762号

问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档