Как совместить nginx jivosite и CSP?

Question

[Alex Xmel]

в nginx прописана такая строка:

add_header Content-Security-Policy   "default-src 'self' http: https: data: blob: 'unsafe-inline'" always;

при её наличии jivosite не работает и в консоль выкидывается куча ошибок - картики,css и js частично находятся, а частично нет.

Вызов jivosite прописан в

<head>:
<script src="//code-ya.jivosite.com/widget/A4gI9bh809" async></script>
 
здесь же, ранее, добавил вот такую строку:
<meta http-equiv="Content-Security-Policy"
          content="default-src *.jivosite.com chat.ws.yandex.ru; connect-src ws://*.jivosite.com;">

но всё бестолку. jivosite нормально не заводится.
Если убрать CSP из nginx и из <head> то всё работает норм. Подскажите как завести jivosite и при этой оставить правило CSP в nginx включённым?

Answer 1

[Александр Карабанов]

Можно попробовать так.
Добавить в конфииг Nginx:

add_header  Content-Security-Policy: default-src 'self'; 
                            report-uri: https://example.com/csp/report;

"https://example.com/csp/report" заменить на адрес скрипта который в состоянии принять и записать в лог JSON репорт (можно реализовать на колене с помощью nc -l <port> или python -m SimpleHTTPServer [port]).

Применить конфиг (nginx -t && systemctl reload nginx).

Обновить страницу и посмотреть в логе какие ресурсы были заблокированы.

Добавить заблокированные ресурсы в CSP: Улучшение сетевой безопасности с помощью Content S...

Comments

[Александр Карабанов]

Могу порекомендовать по-убирать директивы по одной и посмотреть не сломается ли, если сломается, то вернуть.

[Alex Xmel]

Александр Карабанов, да вот так и начал делать, убирать по одной.
В итоге всё сломалось, вернул обратно до уровня ответа здесь, но почему то уже не заработало. Плюнул, пошёл спать. Потому и ответ удалил, где то косяк какой то. Завтра доразбераюсь.

[Александр Карабанов]

Верное решение.