आप 3 मुद्दों:
कंसोल त्रुटियों दिखाया गया है कि आप नहीं कर रहे हैं CSP से संबंधित । "403 Forbidden" का मतलब है आप पहुँच नहीं है करने के लिए से संबंधित Url. "'X-फ्रेम-विकल्प' के लिए 'इनकार'" का अर्थ है आप की कोशिश करने के लिए अपनी वेबसाइट iframe लेकिन उस पृष्ठ disallows embedding के माध्यम से X-Frame-Options: "DENY"
HTTP शीर्ष लेख में है ।
गलत प्रारूप के Nginx add_header
. यह चाहिए की तरह लग रहा है (ध्यान का भुगतान करने के लिए उद्धरण - always
कीवर्ड रखा जाना चाहिए के बाहर CSP सेटिंग):
add_header Content-Security-Policy "default-src 'self'..." always;
गलत प्रारूप के CSP के मेजबान-सूत्रों का कहना है । मेजबान की तरह स्रोतों .youtube.com
शामिल नहीं होना चाहिए एक प्रमुख .
बिंदी:
youtube.com
की अनुमति देगा लोड करने के लिए संसाधनों से http(एस)://youtube.com और *.youtube.com
की अनुमति देगा संसाधनों से उप के youtube.com.
तो अपने वाक्य रचना सही CSP चाहिए की तरह लग रहा है:
add_header Content-Security-Policy "\
default-src 'self' 'unsafe-inline' https://stackpath.bootstrapcdn.com\
https://fonts.googleapis.com infobip.com ws://infobip.com wss://infobip.com youtube.com\
https://cdn.jsdelivr.net http://www.w3.org;\
connect-src 'self' infobip.com wss://infobip.com ws://*.infobip.com\
wss://livechat-fr.infobip.com/chat/web/proxy/ https://doubleclick.net;\
img-src 'self' data: https://openstreetmap.org;\
" always;
ध्यान दें कि:
- wss://livechat-fr । infobip.com/चैट/वेब/प्रॉक्सी/492/hybzmnjl/websocket - शामिल नहीं हैं बोल्ड पथ-भाग करने के लिए CSP, क्योंकि यह बदल गया है हर बार.
- योजना-सूत्रों का कहना है की तरह
wss:
कवर किसी भी मेजबान स्रोतों के साथ कि योजना (जैसे wss://साइट.com/websocket). तो मैं नष्ट कर दिया योजना-सूत्रों का कहना है और मेजबान छोड़ दिया-सूत्रों का कहना है ।
- मैं नष्ट कर दिया कुछ असमर्थित स्रोतों, उदाहरण के लिए,
'unsafe-inline'
में connect-src
.
- Nginx समर्थन करना चाहिए एक बैकस्लैश
\
के रूप में रेखा को तोड़ने, तो मैं इसे इस्तेमाल किया है क्योंकि यह मुश्किल है बनाए रखने के लिए CSP एक लाइन में. जाँच करता है अपने Nginx संस्करण इस सुविधा का समर्थन.
नोट 2: इस CSP को ब्लॉक कर सकते हैं कुछ सूत्रों का कहना है - सिर्फ उन्हें जोड़ने के लिए उचित निर्देश दिये ।
नोट 3: ले जाने पर विचार के स्रोतों से default-src
निर्देश के लिए script-src
+ style-src
+ font-src
निर्देशों. क्योंकि अब आप के लिए वास्तव में अनुमति देता है 'unsafe-inline'
में scrit-src
तो आपकी CSP खिलाफ की रक्षा नहीं करता XSS. यह भी मुश्किल हो जाएगा प्रबंधन करने के लिए CSP भविष्य में, के बाद से स्रोतों में मिश्रित कर रहे हैं एक निर्देशक.