Добрый день, уважаемые форумчане!
Подскажите, пожалуйста, по проблеме настройки CSP: Firebug рекомендует определенную конфигурацию, которая в Chrome порождает одну ошибку.
Если ошибку по Chrome исправить и убрать "лишнюю" запись из CSP, то в Firefox появляется ошибка, связанная с её отсутствием.
Safari, Opera, IE, Edge и Yandex обе конфигурации воспринимают спокойно, ошибок не замечают.
Как в данной ситуации быть, рекомендациям какого браузера следовать?
А больше конкретики, какие записи конфликтуют, что добавляете либо удаляете и где смотрите рекомендации по конфигурации?
Firebug предлагает указать "object-src https://мой-сайт/файл, а Google выдает ошибку "Refused to load plugin data from '' because it violates the following Content Security Policy directive: "Object-src https://мой-сайт/файл".
Если указываю "object-src 'self'", то Furebug пишет "Content Security Policy: Параметры страницы заблoкировали загрузку ресурса object-src https://мой-сайт/файл".
Вот и думаю, претензии какого браузера принять во внимание?
Все это смотрю в разделах браузеров "Разработка".
Значит что-то забываете разрешить, скорее всего у вас грузятся скрипты не только с вашего сайта.
Попробуйте посмотреть отчет, добавив следующее:
ЦитироватьContent-Security-Policy: default-src 'self';
report-uri: https://example.com/csp/report;
Цитата: ProtectYourSite от 13-10-2017, 18:46:09
Значит что-то забываете разрешить, скорее всего у вас грузятся скрипты не только с вашего сайта.
Попробуйте посмотреть отчет, добавив следующее:
Благодарю Вас за ответ!
То есть, в корне сайта мне надо создать папку csp и в ней файл report? Или report.php?
Цитата: advokat-romanov от 13-10-2017, 19:09:52То есть, в корне сайта мне надо создать
Как настроить Content Security Policy (CSP) _http://zabolotskikh.com/tips/content-security-policy/
Не обязательно, можно в инспекторе смотреть post запросы - там в json будет указана отладочная информация. На конкретный файл, если только собрались парсить и логировать полученную информацию.
Цитата: Coder от 13-10-2017, 19:35:45
Как настроить Content Security Policy (CSP) _http://zabolotskikh.com/tips/content-security-policy/
Спасибо за ответ! Но что-то там как-то все чрезвычайно сложно ... буду изучать.
Добавлено: 13-10-2017, 20:22:50
Цитата: ProtectYourSite от 13-10-2017, 19:39:52
Не обязательно, можно в инспекторе смотреть post запросы - там в json будет указана отладочная информация. На конкретный файл, если только собрались парсить и логировать полученную информацию.
И Вас благодарю за ответ! Только подскажите, пожалуйста, в каком инспекторе это можно посмотреть?
Вкладка Сеть (Network)
Методом проб и ошибок удалось удовлетворить требования всех браузеров, оптимальная конфигурация CSP составлена.
Спасибо ProtectYourSite и Coder за дельные советы!
Следуй стандартам MDN W3C, тестируй через Lighthouse camesearch, используй report-uri для ошибок. Chrome ближе к специф, так что бери его конфиг и добавь валидацию через CSP-Violation-Report.