Я настраиваю Nginx CSP для разрешения веб-сокетов в домене, отличном от домена приложения, что должно быть значением connect-src
Я попытался указать подстановочный знак "*" в tld и протоколе, но это не сработало.
add_header Content-Security-Policy "default-src 'self' https://.maindomain.com; script-src 'self' 'unsafe-inline' 'unsafe-eval' https://.jquery.com; connect-src 'self' 'unsafe-inline' https://myWSdomain.maindomain.com;
Я запускаю приложение Node в домене "mydomain.maindomain.com".
Приложению узла необходимо установить соединение Websocket в домене myWSdomain.maindomain.com, который также указывает на тот же Nginx, но необходим для обхода CDN, поскольку CDN не поддерживает соединение Websocket.
Буду признателен, если кто-нибудь сможет указать ошибку в значении connect-src в заголовке CSP Nginx.
Я получаю приведенную ниже ошибку в консоли браузера
Отказался от подключения к 'https://myWSdomain.maindomain.com/path/socket.io/1/?t=1547037648319', поскольку он нарушает следующую директиву политики безопасности содержимого: "connect-src' self '' unsafe-inline 'https://www.google -analytics.com https://*.amazonaws.com https://myWSdomain.mydomain.com".