Заголовок ответа CSP заставляет firefox прерывать загрузку веб-сайта
только в Firefox (недавнем и устаревшем), мой веб-сайт получает код состояния 200, но Firefox просто прекращает работу без каких-либо сообщений об ошибке. Журналы сервера также не показывают проблем. Просматривая настройки, я прикрепил его к заголовку CSP.
Кто-нибудь видит, что мне не хватает?
add_header Content-Security-Policy "default-src 'self';
script-src 'self' data: 'unsafe-inline' 'unsafe-eval' *.$server_name *.google-analytics.com *.googletagmanager.com *.google.com *.googleapis.com *.videopress.com;
style-src 'self' 'unsafe-inline' *.$server_name *.googleapis.com *.google.com *.bootstrapcdn.com *.jquery.com;
img-src 'self' data: *.$server_name *.google.com *.google-analytics.com *.gstatic.com *.googleapis.com *.initiative-s.de *.gravatar.com *.w.org *.creativecommons.org *.jquery.com;
font-src 'self' data: *.$server_name *.gstatic.com *.bootstrapcdn.com;
connect-src 'self' *.$server_name *.googletagmanager.com;
media-src 'self' *.$server_name *.w.org *.videopress.com;
object-src 'none';
child-src 'self' *.googletagmanager.com maps.google.com pastebin.com *.videopress.com;
form-action 'self';
upgrade-insecure-requests;
reflected-xss block;
referrer no-referrer";
Кстати ... если вам интересно, для чего нужен *. $ Server_name. Это' Майк
0
задан mikeg
14 August 2017 в 09:19
Ссылка
1 ответ
Есть два способа понять, какая директива блокирует какой URL:
- Проверьте лог консоли Firefox при посещении сайта. Любое нарушение CSP будет перечислено там
- Добавьте директиву report-uri, чтобы браузер мог отправлять отчеты CSP куда-нибудь. Я рекомендую бесплатную службу https://report-uri.io/
0