Nginx 콘텐츠 보안 정책이 승인되지 않음

SimYouLater

Nginx WordPress 사이트와 몇 가지 프록시 리디렉션이 구성되어 있습니다. 내 nginx.conf, 내 WordPress 사이트 / 프록시 리디렉션 사이트 파일 및 둘 다에 CSP 헤더를 추가해 보았습니다. 테스트 목적으로 다음과 같이 설정했습니다 (여기서 example.com은 내 도메인 임).

add_header Content-Security-Policy "default-src 'unsafe-inline' 'unsafe-eval' 'self' https://example.com;
                                    script-src 'unsafe-inline' 'unsafe-eval' 'self' https://example.com 'unsafe-inline' 'unsafe-eval' https://*.wp.com  https://ssl.google-analytics.com https:/$
                                    img-src 'unsafe-inline' 'unsafe-eval' 'self' https://example.com 'unsafe-inline' 'unsafe-eval' https://example.com https://ssl.google-analytics.c$
                                    style-src 'unsafe-inline' 'unsafe-eval' 'self' https://example.com 'unsafe-inline' 'unsafe-eval' https://example.com https://fonts.googleapis.com$
                                    font-src 'unsafe-inline' 'unsafe-eval' 'self' https://example.com 'unsafe-inline' 'unsafe-eval' https://example.com https://blog.hellodadiam.worl$
                                    frame-src 'unsafe-inline' 'unsafe-eval' 'self' https://example.com 'unsafe-inline' 'unsafe-eval' https://example.com https://assets.zendesk.com h$
                                    object-src 'unsafe-inline' 'unsafe-eval' 'self' https://example.com 'unsafe-inline' https://example.com;"
                                    always;

내 브라우저 콘솔을 살펴보면 다음과 같은 CSP가 표시됩니다.

Content-Security-Policy: default-src 'none'; frame-ancestors 'none'; script-src 'self'; img-src 'self'; style-src 'self'; base-uri 'self'; form-action 'self';

이상하게도 다른 브라우저와 동일한 헤더를 가져도 Firefox에 영향을 미치지 않는 것 같습니다.

프록시의 경우 직접 연결할 때 제대로 작동하므로 Nginx와 관련이 있어야합니다.

내가 누락 된 것이 있거나 구성이 잘못 되었습니까?

SimYouLater

나는 단지 당황하고 있다는 것을 깨달았습니다. Nginx 구성을 다시 살펴본 결과 Certbot이 자동으로 추가 한 옵션 파일을 찾았습니다. 그 안에 내가 찾고 있던 잠긴 CSP가있었습니다. 나는 그 줄을 주석으로 처리했고 모든 것이 잘 작동했습니다.

Certbot은 사이트 구성 파일에 다음 줄을 추가했습니다.

include /etc/letsencrypt/options-ssl-nginx.conf; # managed by Certbot 

그 파일에는 브라우저에서 본 CSP가 있습니다.

add_header Content-Security-Policy "default-src 'none'; frame-ancestors 'none'; script-src 'self'; img-src 'self'; style-src 'self'; base-uri 'self'; form-action 'self';"; 

이 기사는 인터넷에서 수집됩니다. 재 인쇄 할 때 출처를 알려주십시오.

침해가 발생한 경우 연락 주시기 바랍니다[email protected] 삭제

에서 수정
0

몇 마디 만하겠습니다

0리뷰
로그인참여 후 검토

관련 기사

분류에서Dev

다음 콘텐츠 보안 정책 지침 위반 : *** in Shopify

분류에서Dev

콘텐츠 보안 정책 지침

분류에서Dev

Safari 콘텐츠 보안 정책 지원

분류에서Dev

안전하지 않은 인라인이없는 콘텐츠 보안 정책 및 Google Analytics?

분류에서Dev

''프레임이 다음 콘텐츠 보안 정책 지침을 위반하여 거부되었습니다.

분류에서Dev

React 앱의 콘텐츠 보안 정책이 온라인 스크립트를 차단하지 않았습니다.

분류에서Dev

다음 콘텐츠 보안 정책을 위반하여 'blob : ...'이미지로드를 거부했습니다.

분류에서Dev

Cordova Angular webView 오류 다음 콘텐츠 보안 정책 지침을 위반하여 인라인 스타일 적용이 거부되었습니다.

분류에서Dev

HTML 5 콘텐츠 보안 정책 둘 이상의 페이지 (Ionic / AngularJS / Cordova)

분류에서Dev

프로덕션 빌드 후 콘텐츠 보안 정책 지침

분류에서Dev

콘텐츠 보안 정책에 대한 해시를 허용하지 않는 Microsoft Edge

분류에서Dev

다음 콘텐츠 보안 정책 지침을 위반하여 이미지로드를 거부했습니다. "default-src 'none'"

분류에서Dev

SignalR이 다음 콘텐츠 보안 정책 지침을 위반하여 [url]에 연결하는 것을 거부했습니다.

분류에서Dev

XSS 및 콘텐츠 보안 정책

분류에서Dev

콘텐츠 보안 정책 경고

분류에서Dev

콘텐츠 보안 정책 : 페이지 설정이로드를 차단했습니다.

분류에서Dev

nginx가 업데이트 된 정적 콘텐츠를 보지 못함

분류에서Dev

콘텐츠 보안 정책-차단 된 리소스의 소스 확인

분류에서Dev

Chrome 확장 프로그램 콘텐츠 보안 정책 지시문 오류

분류에서Dev

콘텐츠 보안 정책 : 새 (팝업) 창에서 Google지도로드

분류에서Dev

콘텐츠 보안 정책 "인라인 이벤트 처리기 실행 거부"오류

분류에서Dev

다음 콘텐츠 보안 정책 지시문 "script-src 'self'"를 위반하여 인라인 스크립트 실행을 거부했습니다.?

분류에서Dev

혼합 콘텐츠 / 안전하지 않은 콘텐츠 SSL

분류에서Dev

XHTML / JavaScript 동적 콘텐츠 형식이 지정되지 않음

분류에서Dev

DDMS 파일 탐색기 Android 6.0에서 Sdcard 콘텐츠가 보이지 않음

분류에서Dev

내 웹 사이트의 콘텐츠 보안 정책 경고

분류에서Dev

OnClick이 콘텐츠 보안 정책을 위반

분류에서Dev

콘텐츠 보안 정책 : 소스 데이터

분류에서Dev

WordPress "보안 페이지에 혼합 (안전하지 않은) 디스플레이 콘텐츠로드"

Related 관련 기사

  1. 1

    다음 콘텐츠 보안 정책 지침 위반 : *** in Shopify

  2. 2

    콘텐츠 보안 정책 지침

  3. 3

    Safari 콘텐츠 보안 정책 지원

  4. 4

    안전하지 않은 인라인이없는 콘텐츠 보안 정책 및 Google Analytics?

  5. 5

    ''프레임이 다음 콘텐츠 보안 정책 지침을 위반하여 거부되었습니다.

  6. 6

    React 앱의 콘텐츠 보안 정책이 온라인 스크립트를 차단하지 않았습니다.

  7. 7

    다음 콘텐츠 보안 정책을 위반하여 'blob : ...'이미지로드를 거부했습니다.

  8. 8

    Cordova Angular webView 오류 다음 콘텐츠 보안 정책 지침을 위반하여 인라인 스타일 적용이 거부되었습니다.

  9. 9

    HTML 5 콘텐츠 보안 정책 둘 이상의 페이지 (Ionic / AngularJS / Cordova)

  10. 10

    프로덕션 빌드 후 콘텐츠 보안 정책 지침

  11. 11

    콘텐츠 보안 정책에 대한 해시를 허용하지 않는 Microsoft Edge

  12. 12

    다음 콘텐츠 보안 정책 지침을 위반하여 이미지로드를 거부했습니다. "default-src 'none'"

  13. 13

    SignalR이 다음 콘텐츠 보안 정책 지침을 위반하여 [url]에 연결하는 것을 거부했습니다.

  14. 14

    XSS 및 콘텐츠 보안 정책

  15. 15

    콘텐츠 보안 정책 경고

  16. 16

    콘텐츠 보안 정책 : 페이지 설정이로드를 차단했습니다.

  17. 17

    nginx가 업데이트 된 정적 콘텐츠를 보지 못함

  18. 18

    콘텐츠 보안 정책-차단 된 리소스의 소스 확인

  19. 19

    Chrome 확장 프로그램 콘텐츠 보안 정책 지시문 오류

  20. 20

    콘텐츠 보안 정책 : 새 (팝업) 창에서 Google지도로드

  21. 21

    콘텐츠 보안 정책 "인라인 이벤트 처리기 실행 거부"오류

  22. 22

    다음 콘텐츠 보안 정책 지시문 "script-src 'self'"를 위반하여 인라인 스크립트 실행을 거부했습니다.?

  23. 23

    혼합 콘텐츠 / 안전하지 않은 콘텐츠 SSL

  24. 24

    XHTML / JavaScript 동적 콘텐츠 형식이 지정되지 않음

  25. 25

    DDMS 파일 탐색기 Android 6.0에서 Sdcard 콘텐츠가 보이지 않음

  26. 26

    내 웹 사이트의 콘텐츠 보안 정책 경고

  27. 27

    OnClick이 콘텐츠 보안 정책을 위반

  28. 28

    콘텐츠 보안 정책 : 소스 데이터

  29. 29

    WordPress "보안 페이지에 혼합 (안전하지 않은) 디스플레이 콘텐츠로드"

뜨겁다태그

보관