почему у меня «строгий динамический» присутствует? - PullRequest
Новая
       43

почему у меня «строгий динамический» присутствует?

0 голосов
/ 20 декабря 2018

Я хочу создать CSP для своего сайта, и я использовал расширение CSP mitigator в браузере Chrome

Мое приложение было написано с использованием Elixir и phoenix-framework, и я использую nginx для веб-сервера

Заголовки nginx: 

    add_header X-Frame-Options SAMEORIGIN;
    add_header X-Content-Type-Options nosniff;
    add_header X-XSS-Protection "1; mode=block";

Я написал много правил для CSP, таких как: 

default-src 'none'; 
base-uri 'none';
form-action 'none'; 
frame-ancestors 'none'; 
script-src 'unsafe-inline' https://www.googletagmanager.com https://example.com https://www.google.com https://www.gstatic.com https://www.google-analytics.com 'nonce-hZwUTOrpRdsdlZmODf631g==';
style-src 'self'  'nonce-hZwUTOrpRdsdlZmODf631g==' https://example.com 'unsafe-inline' https://www.googletagmanager.com   https://fonts.googleapis.com https://www.google.com/recaptcha;
img-src  'self' https://example.com:443 https://ssl.gstatic.com https://stats.g.doubleclick.net https://www.google-analytics.com;
frame-src https://www.gstatic.com https://www.google.comhttps://www.googletagmanager.com/ns.html;
font-src  'self' 'unsafe-inline' https://example.com https://fonts.gstatic.com;
connect-src www.google-analytics.com  https://www.google-analytics.com  https://stats.g.doubleclick.net ;
object-src 'none';
report-uri https://my_code.report-uri.com/r/d/csp/reportOnly;

, и постоянно моя консоль имеет ошибки: https://gist.github.com/mojtaba-naserei/da75abac20c94a655dd2ab2e652dab8d

=============================

Мои вопросы:

1) Почему яreceive

«строгая-динамическая» присутствует, поэтому белый список на основе хоста отключен

, когда я никогда не определяю 'strict-dynamic' в моем CSP?

2) Почему я получаю эту ошибку: 

[Report Only] Refused to load the image 'https://example.com/images/smal-trangell-logo.png' because it violates the following Content Security Policy directive: "default-src * 'unsafe-inline' 'strict-dynamic' data: filesystem: blob: ws: wss: ". 'strict-dynamic' is present, so host-based whitelisting is disabled. Note that 'img-src' was not explicitly set, so 'default-src' is used as a fallback.

, когда я определил правило для этого: img-src 'self' https://example.com:443?

...