- 17, May 2024
- #1
Привет,
эта страница (https://securityheaders.io
) сообщил мне, что на моем сайте не установлена политика безопасности контента (CSP).
Я хотел это исправить, поэтому погуглил, как настроить CSP в случае сервера Apache + cPanel (google: генератор политики безопасности контента Apache) Я нашел здесь (https://content-security-policy.com/
), что можно отредактировать файл .htaccess и добавить строку: Заголовок устанавливает Content-Security-Policy что-то там
Вот
упоминалось, что можно определить CSP в метатеге заголовка HTML. Или используйте более продвинутый скрипт с отчетами по электронной почте: https://gist.github.com/phpdave/24d879514e7411047267
Я попробовал несколько примеров, которые нашел, но ни один из них не сработал.
Он всегда отключал все внешние элементы моего сайта, хотя я пытался разрешить их: ajax.cloudflare.com *.sharebutton.net *.cjshare.com *.cleverjump.org *.jsdelivr.net *.google.com *.tawk.to *.twitter.com
Код (разметка): мой сайт находится за Cloudflare, но когда я очищаю кеш Cloudflare и перезагружаю сайт Ctrl+F5, никакие внешние элементы, такие как окно чата или виджеты, не появляются, когда CSP находится в .htaccess.
когда я удаляю строку CSP из htaccess, они (окно чата и другие элементы внешних страниц) начинают появляться.
Итак, пожалуйста, как должно выглядеть правило CSP, разрешающее только локальные элементы и элементы внешнего сайта, о которых я упоминал выше? Спасибо
) сообщил мне, что на моем сайте не установлена политика безопасности контента (CSP).
Я хотел это исправить, поэтому погуглил, как настроить CSP в случае сервера Apache + cPanel (google: генератор политики безопасности контента Apache) Я нашел здесь (https://content-security-policy.com/
), что можно отредактировать файл .htaccess и добавить строку: Заголовок устанавливает Content-Security-Policy что-то там
Вот
упоминалось, что можно определить CSP в метатеге заголовка HTML. Или используйте более продвинутый скрипт с отчетами по электронной почте: https://gist.github.com/phpdave/24d879514e7411047267
Я попробовал несколько примеров, которые нашел, но ни один из них не сработал.
Он всегда отключал все внешние элементы моего сайта, хотя я пытался разрешить их: ajax.cloudflare.com *.sharebutton.net *.cjshare.com *.cleverjump.org *.jsdelivr.net *.google.com *.tawk.to *.twitter.com
Header set Content-Security-Policy "default-src 'self' ajax.cloudflare.com *.sharebutton.net *.cjshare.com *.cleverjump.org *.jsdelivr.net *.google.com *.tawk.to *.twitter.com"
Header set Content-Security-Policy "default-src 'self'; script-src 'self' ajax.cloudflare.com *.sharebutton.net *.cjshare.com *.cleverjump.org *.jsdelivr.net *.google.com *.tawk.to *.twitter.com"
Header set Content-Security-Policy "default-src 'self' 'unsafe-inline' ajax.cloudflare.com sharebutton.net cjshare.com cleverjump.org jsdelivr.net google.com *.tawk.to twitter.com"
Header set Content-Security-Policy "default-src 'self'; script-src 'self' http://*tawk.to https://*.cloudflare.com 'unsafe-inline'"
Код (разметка): мой сайт находится за Cloudflare, но когда я очищаю кеш Cloudflare и перезагружаю сайт Ctrl+F5, никакие внешние элементы, такие как окно чата или виджеты, не появляются, когда CSP находится в .htaccess.
когда я удаляю строку CSP из htaccess, они (окно чата и другие элементы внешних страниц) начинают появляться.
Итак, пожалуйста, как должно выглядеть правило CSP, разрешающее только локальные элементы и элементы внешнего сайта, о которых я упоминал выше? Спасибо