나는 꽤 잘 작동하는 Yii2 https://github.com/tomlutzenberger/yii2-smartsupp-chat 위젯을 사용 하고 있지만 웹 사이트에서 비디오를 녹화 할 수 없으며 CSP라는 것을 추가 할 것을 제안했습니다.
https://help.smartlook.com/en/articles/3470377-content-security-policy-csp-smartlook
누구든지 코드 아래에 정확히 어떻게 추가되는지 제안 할 수 있습니까?
Content-Security-Policy: default-src 'self'; script-src 'self' https://*.smartlook.com https://*.smartlook.cloud 'nonce-randomlyGeneratedBase64Nonce' 'unsafe-eval'; connect-src 'self' https://*.smartlook.com https://*.smartlook.cloud; worker-src 'self' blob:
<script nonce="randomlyGeneratedBase64Nonce">...Your Smartlook Tracking Script...</script>
@F Baghi 제안
$randomNonce = Yii::$app->security->generateRandomString(64);
$nonce = "nonce-$randomNonce";
$hostSubdomains = "https://*.smartlook.com https://*.smartlook.cloud";
Yii::$app->response->headers->add(
'Content-Security-Policy',
"default-src 'self'; script-src 'self' $hostSubdomains $nonce 'unsafe-eval'; connect-src 'self' $hostSubdomains; worker-src 'self' blob"
);
YII2 프레임 워크에는 콘텐츠 보안 정책 및 기타 보안 헤더 구성을위한 보안 헤더 확장 이 있습니다. 이것은 선호되는 방법입니다.
또는 웹 서버 구성 에서 CSP를 설정할 수 있습니다 (페이지 하단의 예 참조). 이 경우 CSP를 관리하고 nonce-value
토큰을 사용하는 것은 쉽지 않습니다 .
또한 메타 태그 에서 CSP를 설정할 수 있습니다 . 이 경우 모든 타사 스크립트가이를 훔쳐 nonce-value
사용할 수 있으므로 가장 선호되지 않는 방법입니다.
그러나 CSP를 설정하는 방법과 위치를 모르는 경우 Smartlook에 대한 CSP 규칙을 설정 한 후 웹 페이지가 제대로 작동하지 않을 가능성이 큽니다. 위의 CSP 규칙은 Smartlook 소스 만 다루지 만 웹 페이지에는 자체 스크립트 / 스타일 / 글꼴 등
이 있기 때문입니다 . 따라서 Smartlook CSP 규칙을 결합하고 웹 페이지 CSP 규칙을 하나로 결합해야합니다.
가장 좋은 방법은 먼저 Content-Security-Policy-Report-Only: default-src 'self...
보고 모드 로 설정 하고 브라우저 콘솔 오류 (개발 도구에서) 또는 위반 보고서를 확인하는 것입니다. 그 후 Content-Security-Policy: default-src 'self...
강제 (차단) 모드 로 설정 합니다.
이 기사는 인터넷에서 수집됩니다. 재 인쇄 할 때 출처를 알려주십시오.
침해가 발생한 경우 연락 주시기 바랍니다[email protected] 삭제
몇 마디 만하겠습니다