Desead
@Desead

Как совместить nginx jivosite и CSP?

в nginx прописана такая строка:
add_header Content-Security-Policy   "default-src 'self' http: https: data: blob: 'unsafe-inline'" always;


при её наличии jivosite не работает и в консоль выкидывается куча ошибок - картики,css и js частично находятся, а частично нет.

Вызов jivosite прописан в
<head>:
<script src="//code-ya.jivosite.com/widget/A4gI9bh809" async></script>
 
здесь же, ранее, добавил вот такую строку:
<meta http-equiv="Content-Security-Policy"
          content="default-src *.jivosite.com chat.ws.yandex.ru; connect-src ws://*.jivosite.com;">

но всё бестолку. jivosite нормально не заводится.
Если убрать CSP из nginx и из <head> то всё работает норм. Подскажите как завести jivosite и при этой оставить правило CSP в nginx включённым?
  • Вопрос задан
  • 196 просмотров
Пригласить эксперта
Ответы на вопрос 1
karabanov
@karabanov
Системный администратор
Можно попробовать так.
Добавить в конфииг Nginx:
add_header  Content-Security-Policy: default-src 'self'; 
                            report-uri: https://example.com/csp/report;

"https://example.com/csp/report" заменить на адрес скрипта который в состоянии принять и записать в лог JSON репорт (можно реализовать на колене с помощью nc -l <port> или python -m SimpleHTTPServer [port]).

Применить конфиг (nginx -t && systemctl reload nginx).

Обновить страницу и посмотреть в логе какие ресурсы были заблокированы.

Добавить заблокированные ресурсы в CSP: Улучшение сетевой безопасности с помощью Content S...
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы