Nastavení hlavičky CSP v Nginx

Nastavení hlavičky CSP v Nginx
« kdy: 23. 03. 2024, 19:51:57 »
Hlavicky riesim v nginx reverznom proxy a teraz to mam nastavene takt
Kód: [Vybrat]
    add_header Content-Security-Policy "default-src 'self' https: data: 'unsafe-inline' 'unsafe-eval';" always;
Avsak pri teste na securityheaders dostavam toto upozornenie.
Kód: [Vybrat]
Content-Security-Policy This policy contains 'unsafe-inline' which is dangerous in the default-src directive. This policy contains 'unsafe-eval' which is dangerous in the default-src directive.Z toho vypliva, ze
Kód: [Vybrat]
'unsafe-inline'odstranit a do
Kód: [Vybrat]
default-srcdoplnit
Kód: [Vybrat]
'sha256-aqNNdDLnnrDOnTNdkJpYlAxKVJtLt9CtFLklmInuUAE='Skusil som to a vysledky na  securityheaders su teraz OK, ale totalne mi to rozhodi web (css). Pouzivam WP. Priznam sa, ze velmi do toho nastavenia http hlaviciek nevidim, tak idem cestou pokus/omyl
 :)


McFly

  • *****
  • 577
    • Zobrazit profil
    • E-mail
Re:Nastavení hlavičky CSP v Nginx
« Odpověď #1 kdy: 23. 03. 2024, 20:17:30 »
Tady nejde ani tak o nginx, ale o nastudování problematiky, viz https://www.root.cz/clanky/bezpecnejsi-web-s-hlavickou-content-security-policy/ ;-)

Re:Nastavení hlavičky CSP v Nginx
« Odpověď #2 kdy: 27. 03. 2024, 11:25:58 »
Dobre, nie som vyvojar WP a nemam prehlad odkial system nacitava jednotlive skripty, img, css a pod. Ak pouzivam vo WP aj nejake pluginy, tak o to zlozitejsie nastavovanie. Cize idealne je asi povolit vsestko od seba (self). Dalej mozno web nacitava  (google)fonty, obr. (z  roznych soc. sieti), recaptcha javaskript atd ...
Ak nieco zabudnem povolit, tak web nebude fungovat spravne.
Odkial to zistit ?
Skusal som otvorit v mozille dev. tools a pustil som si root.cz
Vidim tam napr.

Kód: [Vybrat]
font.gstatic.com
i.iinfo.cz
d.seznam.cz
cdnjs.cloudflare.com

Je potrebne to riesit tak pracne a zistovat co odkial sa nacitava a samozrejme musim tomu zdroju doverovat. Alebo kaslat na nejake CSP ?

Re:Nastavení hlavičky CSP v Nginx
« Odpověď #3 kdy: 27. 03. 2024, 11:39:27 »
Ak nieco zabudnem povolit, tak web nebude fungovat spravne. Odkial to zistit ?

Pokud se některý obsah nenačte z důvodu porušení pravidel CSP, nahlásí to prohlížeč v konzoli (F12). Pak je potřeba pravidla doplnit či upravit a postup opakovat.