Nastavení hlavičky CSP v Nginx

[darebacik]

Hlavicky riesim v nginx reverznom proxy a teraz to mam nastavene takt

Kód: [Vybrat]

    add_header Content-Security-Policy "default-src 'self' https: data: 'unsafe-inline' 'unsafe-eval';" always;
Avsak pri teste na securityheaders dostavam toto upozornenie.

Kód: [Vybrat]

Content-Security-Policy This policy contains 'unsafe-inline' which is dangerous in the default-src directive. This policy contains 'unsafe-eval' which is dangerous in the default-src directive.Z toho vypliva, ze

Kód: [Vybrat]

'unsafe-inline'odstranit a do

Kód: [Vybrat]

default-srcdoplnit

Kód: [Vybrat]

'sha256-aqNNdDLnnrDOnTNdkJpYlAxKVJtLt9CtFLklmInuUAE='Skusil som to a vysledky na  securityheaders su teraz OK, ale totalne mi to rozhodi web (css). Pouzivam WP. Priznam sa, ze velmi do toho nastavenia http hlaviciek nevidim, tak idem cestou pokus/omyl
 

[Reklama]

[McFly]

Tady nejde ani tak o nginx, ale o nastudování problematiky, viz https://www.root.cz/clanky/bezpecnejsi-web-s-hlavickou-content-security-policy/ ;-)

[darebacik]

Dobre, nie som vyvojar WP a nemam prehlad odkial system nacitava jednotlive skripty, img, css a pod. Ak pouzivam vo WP aj nejake pluginy, tak o to zlozitejsie nastavovanie. Cize idealne je asi povolit vsestko od seba (self). Dalej mozno web nacitava  (google)fonty, obr. (z  roznych soc. sieti), recaptcha javaskript atd ...
Ak nieco zabudnem povolit, tak web nebude fungovat spravne.
Odkial to zistit ?
Skusal som otvorit v mozille dev. tools a pustil som si root.cz
Vidim tam napr.

Kód: [Vybrat]

font.gstatic.com
i.iinfo.cz
d.seznam.cz
cdnjs.cloudflare.com
Je potrebne to riesit tak pracne a zistovat co odkial sa nacitava a samozrejme musim tomu zdroju doverovat. Alebo kaslat na nejake CSP ?

[Petr Krčmář]

Ak nieco zabudnem povolit, tak web nebude fungovat spravne. Odkial to zistit ?

Pokud se některý obsah nenačte z důvodu porušení pravidel CSP, nahlásí to prohlížeč v konzoli (F12). Pak je potřeba pravidla doplnit či upravit a postup opakovat.