당신은 3 가지 문제점:
콘솔에 오류에 당신은 다음과 같은 CSP 와 관련이 있습니다. "403Forbidden"의 당신은에 액세스하지 않는 관련된 Url. "'X-프레임 옵션'이하'deny'"의 뜻을 포함하려고 하 iframe 하지만 그 페이지에 허용하지 않을 통해 내장 X-Frame-Options: "DENY"
HTTP 헤더가 있습니다.
잘못된 형식의 Nginx add_header
. 그것처럼 보인(주목을 따옴표 always
키워드 배치해야의 CSP 설정):
add_header Content-Security-Policy "default-src 'self'..." always;
잘못된 형식의 CSP 스트-소스입니다. 호스트 소스를 같이 .youtube.com
포함되지 않아야 합니다 주요 .
점:
youtube.com
허용에서 자원을 로드하 는 http(s)://youtube.com 고 *.youtube.com
이 허용원에서의 하위 도메인 youtube.com.
그래서 당신의 통상적으로 올바른 CSP 해야처럼 보인:
add_header Content-Security-Policy "\
default-src 'self' 'unsafe-inline' https://stackpath.bootstrapcdn.com\
https://fonts.googleapis.com infobip.com ws://infobip.com wss://infobip.com youtube.com\
https://cdn.jsdelivr.net http://www.w3.org;\
connect-src 'self' infobip.com wss://infobip.com ws://*.infobip.com\
wss://livechat-fr.infobip.com/chat/web/proxy/ https://doubleclick.net;\
img-src 'self' data: https://openstreetmap.org;\
" always;
Note:
- wss://livechat-fr.infobip.com/채팅/web/proxy/492/hybzmnjl/websocket -을 포함하지 않 대담한 경로-부분을 CSP 기 때문에,그것은 변경되었습니다.
- 계획-원
wss:
모든 호스트 소스와 함께하는 방식(예를 들어 wss://사이트입니다.com/websocket). 그래서 나는 삭제 계획-소스와 왼쪽의 호스트 소스.
- 일부를 삭제하는 지원되지 않는 소스에 대한 인스턴스
'unsafe-inline'
에 connect-src
.
- Nginx 지원해야 하는 백슬래
\
으로 줄바꿈,그래서 나는 그것을 사용하기 때문에 그것을 유지하기 위해 열심히 CSP 니다. 하지 확인 Nginx 버전을 지원하는 이 기능이 있습니다.
참고 2: 이 CSP 일부를 차단할 수 있 소스에 추가하기만 하면 해당 지시어.
3 주: 이동 소스에서 default-src
지시어를 script-src
+ style-src
+ font-src
시오. 기 때문에 지금은 당신이 실제로 허용 'unsafe-inline'
에 scrit-src
그래서 당신의 CSP 으로부터 보호되지 않습니다 XSS. 그것은 또한 어렵게 관리 CSP 에서 미래기 때문에,원본은 혼합 중 하나에서 지시문입니다.