У меня есть Jira экземпляр, работающий под nginx , и у нас есть CSP , настроенные в nginx .
Сейчас мы устанавливаем приложение, которое генерирует ссылки, которые запускают расширение браузера, URL начинаются с goedit :
Производитель приложения предлагает этот CSP header:
add_header
Content-Security-Policy
default-src https: goedit: wss: 'unsafe-inline' 'unsafe-eval';
img-src https: data: 'unsafe-inline'" always;
Я сейчас пытаюсь включить это в наш CSP-заголовок.Наш заголовок CSP включает
frame-src '' https://assets.zendesk.com https://www.facebook.com https://$server_name;
Когда я сейчас нажимаю на одну из ссылок для этого приложения, я получаю в консоли следующее сообщение об ошибке:
Отказался от фрейма ''
, поскольку он нарушаетследующие Политика безопасности контента
directive: "frame-src https://assets.zendesk.com https://www.facebook.com https://my-server.dein-james.de".
Мне интересно: что мне нужно вставить в frame-src, чтобы разрешить ссылки такого типа ('')?
Я бы предпочел не отбрасывать всю часть frame-src, я хочу сохранить эти белые списки.
заранее спасибо Jens