Размещение сайтов > Защита сайта от взлома
Ошибка CSP
Protector:
Добрый день, уважаемые форумчане!
Подскажите, пожалуйста, по проблеме настройки CSP: Firebug рекомендует определенную конфигурацию, которая в Chrome порождает одну ошибку.
Если ошибку по Chrome исправить и убрать "лишнюю" запись из CSP, то в Firefox появляется ошибка, связанная с её отсутствием.
Safari, Opera, IE, Edge и Yandex обе конфигурации воспринимают спокойно, ошибок не замечают.
Как в данной ситуации быть, рекомендациям какого браузера следовать?
ProtectYourSite:
А больше конкретики, какие записи конфликтуют, что добавляете либо удаляете и где смотрите рекомендации по конфигурации?
Protector:
Firebug предлагает указать "object-src https://мой-сайт/файл, а Google выдает ошибку "Refused to load plugin data from '' because it violates the following Content Security Policy directive: "Object-src https://мой-сайт/файл".
Если указываю "object-src 'self'", то Furebug пишет "Content Security Policy: Параметры страницы заблoкировали загрузку ресурса object-src https://мой-сайт/файл".
Вот и думаю, претензии какого браузера принять во внимание?
Все это смотрю в разделах браузеров "Разработка".
ProtectYourSite:
Значит что-то забываете разрешить, скорее всего у вас грузятся скрипты не только с вашего сайта.
Попробуйте посмотреть отчет, добавив следующее:
--- Цитировать ---Content-Security-Policy: default-src 'self';
report-uri: https://example.com/csp/report;
--- Конец цитаты ---
Protector:
--- Цитата: ProtectYourSite от 13-10-2017, 18:46:09 ---Значит что-то забываете разрешить, скорее всего у вас грузятся скрипты не только с вашего сайта.
Попробуйте посмотреть отчет, добавив следующее:
--- Конец цитаты ---
Благодарю Вас за ответ!
То есть, в корне сайта мне надо создать папку csp и в ней файл report? Или report.php?
Навигация
Перейти к полной версии