Nginx WordPress 사이트와 몇 가지 프록시 리디렉션이 구성되어 있습니다. 내 nginx.conf, 내 WordPress 사이트 / 프록시 리디렉션 사이트 파일 및 둘 다에 CSP 헤더를 추가해 보았습니다. 테스트 목적으로 다음과 같이 설정했습니다 (여기서 example.com은 내 도메인 임).
add_header Content-Security-Policy "default-src 'unsafe-inline' 'unsafe-eval' 'self' https://example.com;
script-src 'unsafe-inline' 'unsafe-eval' 'self' https://example.com 'unsafe-inline' 'unsafe-eval' https://*.wp.com https://ssl.google-analytics.com https:/$
img-src 'unsafe-inline' 'unsafe-eval' 'self' https://example.com 'unsafe-inline' 'unsafe-eval' https://example.com https://ssl.google-analytics.c$
style-src 'unsafe-inline' 'unsafe-eval' 'self' https://example.com 'unsafe-inline' 'unsafe-eval' https://example.com https://fonts.googleapis.com$
font-src 'unsafe-inline' 'unsafe-eval' 'self' https://example.com 'unsafe-inline' 'unsafe-eval' https://example.com https://blog.hellodadiam.worl$
frame-src 'unsafe-inline' 'unsafe-eval' 'self' https://example.com 'unsafe-inline' 'unsafe-eval' https://example.com https://assets.zendesk.com h$
object-src 'unsafe-inline' 'unsafe-eval' 'self' https://example.com 'unsafe-inline' https://example.com;"
always;
내 브라우저 콘솔을 살펴보면 다음과 같은 CSP가 표시됩니다.
Content-Security-Policy: default-src 'none'; frame-ancestors 'none'; script-src 'self'; img-src 'self'; style-src 'self'; base-uri 'self'; form-action 'self';
이상하게도 다른 브라우저와 동일한 헤더를 가져도 Firefox에 영향을 미치지 않는 것 같습니다.
프록시의 경우 직접 연결할 때 제대로 작동하므로 Nginx와 관련이 있어야합니다.
내가 누락 된 것이 있거나 구성이 잘못 되었습니까?
나는 단지 당황하고 있다는 것을 깨달았습니다. Nginx 구성을 다시 살펴본 결과 Certbot이 자동으로 추가 한 옵션 파일을 찾았습니다. 그 안에 내가 찾고 있던 잠긴 CSP가있었습니다. 나는 그 줄을 주석으로 처리했고 모든 것이 잘 작동했습니다.
Certbot은 사이트 구성 파일에 다음 줄을 추가했습니다.
include /etc/letsencrypt/options-ssl-nginx.conf; # managed by Certbot
그 파일에는 브라우저에서 본 CSP가 있습니다.
add_header Content-Security-Policy "default-src 'none'; frame-ancestors 'none'; script-src 'self'; img-src 'self'; style-src 'self'; base-uri 'self'; form-action 'self';";
이 기사는 인터넷에서 수집됩니다. 재 인쇄 할 때 출처를 알려주십시오.
침해가 발생한 경우 연락 주시기 바랍니다[email protected] 삭제
몇 마디 만하겠습니다