Ошибка CSP

Автор Protector, 13-10-2017, 12:01:27

« назад - далее »

ProtectorTopic starter

Добрый день, уважаемые форумчане!
Подскажите, пожалуйста, по проблеме настройки CSP: Firebug рекомендует определенную конфигурацию, которая в Chrome порождает одну ошибку.
Если ошибку по Chrome исправить и убрать "лишнюю" запись из CSP, то в Firefox появляется ошибка, связанная с её отсутствием.
Safari, Opera, IE,  Edge и Yandex обе конфигурации воспринимают спокойно, ошибок не замечают.
Как в данной ситуации быть, рекомендациям какого браузера следовать?
Приговор - это только начало ...
  •  


ProtectYourSite

А больше конкретики, какие записи конфликтуют, что добавляете либо удаляете и где смотрите рекомендации по конфигурации?


ProtectorTopic starter

Firebug предлагает указать "object-src https://мой-сайт/файл, а Google выдает ошибку "Refused to load plugin data from '' because it violates the following Content Security Policy directive: "Object-src https://мой-сайт/файл".
Если указываю "object-src 'self'", то Furebug пишет "Content Security Policy: Параметры страницы заблoкировали загрузку ресурса object-src https://мой-сайт/файл".
Вот и думаю, претензии какого браузера принять во внимание?
Все это смотрю в разделах браузеров "Разработка".
Приговор - это только начало ...
  •  

ProtectYourSite

Значит что-то забываете разрешить, скорее всего у вас грузятся скрипты не только с вашего сайта.
Попробуйте посмотреть отчет, добавив следующее:
ЦитироватьContent-Security-Policy:    default-src 'self';
                            report-uri: https://example.com/csp/report;

ProtectorTopic starter

Цитата: ProtectYourSite от 13-10-2017, 18:46:09
Значит что-то забываете разрешить, скорее всего у вас грузятся скрипты не только с вашего сайта.
Попробуйте посмотреть отчет, добавив следующее:

Благодарю Вас за ответ!
То есть, в корне сайта мне надо создать папку csp и в ней файл report? Или report.php?
Приговор - это только начало ...
  •  


Coder

Цитата: advokat-romanov от 13-10-2017, 19:09:52То есть, в корне сайта мне надо создать
Как настроить Content Security Policy (CSP) _http://zabolotskikh.com/tips/content-security-policy/


ProtectYourSite

Не обязательно, можно в инспекторе смотреть post запросы - там в json будет указана отладочная информация. На конкретный файл, если только собрались парсить и логировать полученную информацию.

ProtectorTopic starter

Цитата: Coder от 13-10-2017, 19:35:45
Как настроить Content Security Policy (CSP) _http://zabolotskikh.com/tips/content-security-policy/

Спасибо за ответ! Но что-то там как-то все чрезвычайно сложно ... буду изучать.

Добавлено: 13-10-2017, 20:22:50


Цитата: ProtectYourSite от 13-10-2017, 19:39:52
Не обязательно, можно в инспекторе смотреть post запросы - там в json будет указана отладочная информация. На конкретный файл, если только собрались парсить и логировать полученную информацию.

И Вас благодарю за ответ! Только подскажите, пожалуйста, в каком инспекторе это можно посмотреть?
Приговор - это только начало ...
  •  


Coder