Я пытаюсь настроить свой сайт для прохождения тестов по адресу:
Я просматривал это сообщение в блоге . Я использую приложение D jango под названием django-csp , чтобы реализовать это. Мои настройки Django в производстве следующие:
# Content Security Policy
CSP_DEFAULT_SRC = ("'none'", )
CSP_STYLE_SRC = ("'self'", "fonts.googleapis.com", "'sha256-/3kWSXHts8LrwfemLzY9W0tOv5I4eLIhrf0pT8cU0WI='")
CSP_SCRIPT_SRC = ("'self'", )
CSP_IMG_SRC = ("'self'",)
CSP_FONT_SRC = ("'self'", "fonts.gstatic.com")
CSP_CONNECT_SRC = ("'self'", )
CSP_OBJECT_SRC = ("'none'", )
CSP_BASE_URI = ("'none'", )
CSP_FRAME_ANCESTORS = ("'self'", 'https://example.com/', 'https://example.com/')
CSP_FORM_ACTION = ("'self'", )
CSP_INCLUDE_NONCE_IN = ('script-src',)
CSRF_COOKIE_SECURE = True
SESSION_COOKIE_SECURE = True
SECURE_CONTENT_TYPE_NOSNIFF = True
SECURE_BROWSER_XSS_FILTER = True
SECURE_SSL_REDIRECT = True
X_FRAME_OPTIONS = 'DENY'
SECURE_HSTS_SECONDS = 60
SECURE_HSTS_INCLUDE_SUBDOMAINS = True
SECURE_HSTS_PRELOAD = True
Тем не менее, когда я запускаю вышеупомянутые тесты, я терплю неудачу, даже если у меня есть вышеуказанная настройка. Более того, в инструментах разработчика Chrome я не получаю ошибок, и это здорово.
У кого-нибудь есть совет по этому вопросу, пожалуйста?
Спасибо
Обновление:
Я развертываю приложение через Heroku. Когда я тестирую URL appname.herokuapp.com с обсерваторией Mozilla, я сдаю все тесты.
Кажется, что когда я пересылаю домен appname.herokuapp.com на mywebsite.com, некоторые настройки пропускаются? Я не прошел тесты с mywebsite.com
Я добавил CNAME www в качестве значения настраиваемого Heroku DNS.