Usted tiene 3 problemas:
La consola de errores que se muestran no están CSP-relacionados. "403 Forbidden" significa que usted no tiene acceso a los relacionados con la Url. "'X-Frame-Options' para 'negar'" significa intenta incrustar iframe pero esa página no permite incrustar a través de X-Frame-Options: "DENY"
Encabezado HTTP.
Formato incorrecto de Nginx add_header
. Se deben parece (prestar atención a las cotizaciones - always
palabra clave debe ser colocado fuera de la CSP configuración):
add_header Content-Security-Policy "default-src 'self'..." always;
Mal formato de CSP host-fuentes. Host-fuentes, como .youtube.com
no debe contener una de las principales .
dot:
youtube.com
permitirá cargar los recursos de http(s)://youtube.com y *.youtube.com
permitirá a los recursos de los subdominios de youtube.com.
Por lo que su sintácticamente correcta CSP deben parece:
add_header Content-Security-Policy "\
default-src 'self' 'unsafe-inline' https://stackpath.bootstrapcdn.com\
https://fonts.googleapis.com infobip.com ws://infobip.com wss://infobip.com youtube.com\
https://cdn.jsdelivr.net http://www.w3.org;\
connect-src 'self' infobip.com wss://infobip.com ws://*.infobip.com\
wss://livechat-fr.infobip.com/chat/web/proxy/ https://doubleclick.net;\
img-src 'self' data: https://openstreetmap.org;\
" always;
Tenga en cuenta que:
- wss://livechat-fr.infobip.com/chat/web/proxy/492/hybzmnjl/websocket - no incluyen negrita camino-parte a CSP, porque es cambiado cada vez.
- El esquema de fuentes como
wss:
cubre cualquier host-fuentes con ese esquema (por ejemplo, wss://sitio.com/websocket). Así que he eliminado el sistema de fuentes y a la izquierda el host fuentes.
- He eliminado algunas fuentes no compatibles, por ejemplo
'unsafe-inline'
en el connect-src
.
- Nginx debe apoyar una barra diagonal inversa
\
como salto de línea, por lo que la he usado porque es difícil mantener la CSP en una línea. Verificación ¿su Nginx versión es compatible con esta característica.
Nota 2: Este documento puede bloquear algunas fuentes - sólo tiene que añadir a las directivas correspondientes.
Nota 3: Considere la posibilidad de mover las fuentes de la default-src
directiva para la script-src
+ style-src
+ font-src
las directivas. Porque por ahora se permite en realidad 'unsafe-inline'
en el scrit-src
por lo que su CSP no protege contra XSS. También será difícil para administrar CSP en el futuro, ya que las fuentes se mezclan en una directiva.