Vous avez 3 questions:
Les erreurs de la Console vous sont non CSP-liés. "403 Forbidden" signifie que vous n'avez pas accès à des Url. "'X-Frame-Options "pour" refuser "" signifie que vous essayez d'intégrer des iframe mais cette page n'autorise pas l'incorporation par X-Frame-Options: "DENY"
L'en-tête HTTP.
Mauvais format de Nginx add_header
. Il devrait ressembler à (attention aux guillemets - always
mot-clé doit être placé en dehors de la CSP paramètres):
add_header Content-Security-Policy "default-src 'self'..." always;
Mauvais format de la CSP de l'hôte-sources. L'hôte de sources telles que .youtube.com
ne doit pas contenir l'un des principaux .
dot:
youtube.com
permettra de charger les ressources à partir de l'adresse http(s)://youtube.com et *.youtube.com
permettra des ressources du sous-domaines de youtube.com.
Donc, votre point de vue syntaxique correcte CSP devrait ressembler à:
add_header Content-Security-Policy "\
default-src 'self' 'unsafe-inline' https://stackpath.bootstrapcdn.com\
https://fonts.googleapis.com infobip.com ws://infobip.com wss://infobip.com youtube.com\
https://cdn.jsdelivr.net http://www.w3.org;\
connect-src 'self' infobip.com wss://infobip.com ws://*.infobip.com\
wss://livechat-fr.infobip.com/chat/web/proxy/ https://doubleclick.net;\
img-src 'self' data: https://openstreetmap.org;\
" always;
Notez que:
- wss://livechat-fr.infobip.com/chat/web/proxy/492/hybzmnjl/websocket - ne pas inclure les gras chemin-partie de la pcs, parce que c'est changé à chaque fois.
- Le régime de sources telles que
wss:
couvre toute l'hôte sources avec ce régime (par exemple wss://site.com/websocket). J'ai donc supprimé le régime des sources et à gauche de l'hôte-sources.
- J'ai supprimé certaines sources non pris en charge, par exemple
'unsafe-inline'
dans le connect-src
.
- Nginx devrait prendre en charge une barre oblique inverse
\
comme saut de ligne, je l'ai donc utilisé car il est difficile de maintenir la CSP dans une ligne. Vérifiez votre version de Nginx prend en charge cette fonctionnalité.
Note 2: le Présent DSP peut bloquer certaines sources - il suffit de les ajouter à la directives appropriées.
Note 3: Envisager de déplacer les sources de l' default-src
la directive de l' script-src
+ style-src
+ font-src
les directives. Parce que pour l'instant vous permet en fait 'unsafe-inline'
dans le scrit-src
si votre CSP ne protège pas contre les attaques de type XSS. Il sera également difficile à gérer CSP dans l'avenir, puisque les sources sont mélangés dans une directive.