我只是添加了一个内容安全策略,经过大量阅读后,我这样做了:
Header set Content-Security-Policy "base-uri 'self'; default-src 'self' 'unsafe-inline'; frame-src https://youtube.com; style-src 'self' 'unsafe-inline'; script-src 'self' 'unsafe-inline; font-src 'self'; form-action 'self'"然而,我忘了考虑网站中某些有CDN的页面,比如主页,联系人页面,政策等。我读过一些关于如何更改CDN内容安全政策的信息,但这超出了我的理解范围,主要是因为我更好地理解了示例,但提供的示例写得像你是Maven而不是外行。
我们的CDN设置在缓存插件中,我们的CDN看起来像这样:example.cdn.net有人能提供一个例子,我做了什么仍然有一个内容安全策略,但接受的网页上有CDN?目前最明显的事情失踪的CDN网页的图像。
感谢任何帮助。
1条答案
按热度按时间7z5jn7bk1#
在打开开发者工具的情况下浏览网页。当出现CSP相关错误时,请考虑允许在CSP中列出违规源。例如,如果您看到违反“img-src”(也可以回退到“default-src”),则将该主机名添加到指令中。如果尚未定义该指令,请包括该指令,例如“img-src 'self'example.cdn.net;”
如果很难覆盖网页的所有部分,您可以使用Content-Security-Policy-Report-Only和生产环境中的报告端点来获取用户遇到的所有违规。但在这种情况下,您需要验证所有违规,因为会有一些与您的网站和内容无关的特定于用户的违规。