Я хотел бы установить заголовок политики безопасности содержания для веб-сайта Joomla, работающего на Apache 2.4.
Используя эту конфигурацию от h5bp и установки Header set Content-Security-Policy "script-src 'self'; object-src 'self'"
дает мне пустую страницу для страницы входа в систему Joomla по www.example.com/administrator/. Как я могу использовать эту политику и все еще войти в систему?
Проверяя консоль, сообщение об ошибке:
Политика Безопасности содержания: настройки страницы заблокировали загрузку ресурса в сам ("сценарий-src http://www.example.com").
Страница администратора полностью подается из example.com, нет никакого стороннего содержания. Сайт работает отлично за исключением пустой страницы на странице входа в систему с набором политики. Проверяя / источник страницы администратора, это выглядит абсолютно обычным за исключением того, что JS не выполняется. Копия полного источника страницы здесь.
Поскольку я добавил в белый список example.com со "сценарием-src 'сам'; возразите-src 'сам'", я ожидаю, что страница представит, но я, очевидно, пропускаю что-то.
Я теперь повторно протестировал это с новым VPS и чистой установкой Joomla без удовлетворения требованиям заказчика. Установка политики безопасности содержания и перезапуск Apache сразу воспроизводят проблему - полностью очищают администраторскую страницу с сопроводительной консольной ошибкой в браузере, жалующемся на политику, блокирующую загрузку ресурсов. Изменение "script-src 'self'
кому: "script-src 'example.com'
или "script-src 'IP:AD:DR:ESS'
справка doens't, все сценарии заблокированы, период.
Какая-либо идея, как получить эту работу или дальнейший поиск и устранение неисправностей это?
Aprè li fin gade kòd sous la, li parèt ke mesaj erè a inègza ak twonpe. Ki sa ki parèt ki lakòz pwoblèm ou an se ke gen plizyè eleman JavaScript aliye. Nan yon lòt sans,politik ou ap defini pèmèt kontni tankou sa a:
<script src="/media/myjsfile.js"></script>
Men, pa tankou sa a:
<script>function myJsFunction()</script>
Yo nan lòd yo pèmèt aliye JavaScript ( pa rekòmande kòm sa a defèt bi pou yo sèvi ak CSP ), ou bezwen modifye politik ou a yon bagay tankou:
script-src 'self' 'unsafe-inline'
Altènativman, ou ka refactor kòd la pa sèvi ak aliye JS, oswa pran avantaj de nonce atribi a . Kenbe nan tèt ou ke sipò pou atribi a nonce se pa kounye a prezan nan tout navigatè (li se yon pati nan spesifikasyon an dènye pou Règleman kontni Sekirite Sosyal). Konnen mwen, li se kounye a sèlman sipòte nan Chrome.