独的连接失败之后添加内容的安全政策中的服务器

Question 1

我想添加一个新的标题内容的安全政策要我的服务conf为了提高安全性。我已经加入的所有外部来源和一切工作正常，除了提示机器人是infobip. 它使用鞋议定书》和由于某种原因我不能找到正确的方式进行配置。

这是我的头在阿帕奇.conf

add_header'的内容的安全政策'"默认src'自我''不安全-联'的鞋：://.infobip.com ws://.infobip.com .infobip.com http://www.w3.org https://fonts.googleapis.com https://stackpath.bootstrapcdn.com .youtube.com https://cdn.jsdelivr.net/; img src'自我'数据：https://.openstreetmap.org 鞋://在线咨询-fr。infobip.com/聊天室/web/代理/827/toxgylwd/websocket总是连接src'自我'鞋：ws：://.infobip.com ws://*.infobip.com .infobip.com https://.doubleclick.net 鞋://在线咨询-fr。infobip.com/聊天室/web/代理/492/hybzmnjl/websocket'不安全-inline总;";

我已经尝试了多种方式允许的连接，但似乎没有工作。

Question 2

由于每个独的连接开始通过一个经常http请求，就必须增加CSP为https://your-websocket-server-domain:port

Http请求将回答 101: swtiching protocols 然后连接将成为一个独的连接.

注意，我不认为ws：或鞋:csp指令是需要的。

Question 3

你有3个问题：

控制台的错误你不CSP相关。 "403禁止"意味着你没有访问相关网址。 "'X框架的选项'，以'否认'"意味着你尝试嵌入框架，但这一页不允许埋通过 X-Frame-Options: "DENY" HTTP头。
错误的格式的服务 add_header. 它应该看起来像(注意报价- always 关键字应放出来的CSP设置):

add_header Content-Security-Policy "default-src 'self'..." always;
错误的格式CSP的主机的来源。主机的来源喜欢 .youtube.com 必须不包含一个领先 . 点：
youtube.com 将允许负载资源从 http(s)://youtube.com 和 *.youtube.com 将允许资源从子 youtube.com.

所以你的语法正确CSP应该看起来像:

add_header Content-Security-Policy "\
default-src 'self' 'unsafe-inline' https://stackpath.bootstrapcdn.com\
https://fonts.googleapis.com infobip.com ws://infobip.com wss://infobip.com youtube.com\
https://cdn.jsdelivr.net http://www.w3.org;\
connect-src 'self' infobip.com wss://infobip.com ws://*.infobip.com\
wss://livechat-fr.infobip.com/chat/web/proxy/ https://doubleclick.net;\
img-src 'self' data: https://openstreetmap.org;\
" always;

注意：

鞋://在线咨询-fr。infobip.com/聊天室/web/代理/492/hybzmnjl/websocket -不包括大胆的路径的一部分，以CSP，因为它改变了每个时间。
该方案的资源喜欢 wss: 涵盖了任何主机的来源与方案(例如 鞋://网站。com/websocket). 因此，我删除了方案资源和离开宿主的来源。
我删除一些不支持的来源，例如 'unsafe-inline' 在 connect-src.
服务应该支持反斜杠 \ 作为线突破了，所以我使用它，因为它很难保持CSP在一个线上。检查你的服务器版本支持这一特征。

注2： 这CSP可以阻止一些消息来源-只是把它们添加到适当的指令。

注3： 考虑移动源自 default-src 指令 script-src + style-src + font-src 指令。因为现在你实际上允许 'unsafe-inline' 在 scrit-src 所以你CSP不保护对XSS. 它也将难以管理CSP在未来，由于资源被混合在一个指令。

Ariart · Answer 1 · 2021-11-20T14:15:38

由于每个独的连接开始通过一个经常http请求，就必须增加CSP为https://your-websocket-server-domain:port

Http请求将回答 101: swtiching protocols 然后连接将成为一个独的连接.

注意，我不认为ws：或鞋:csp指令是需要的。

granty · Answer 2 · 2021-11-28T23:35:39

你有3个问题：

控制台的错误你不CSP相关。 "403禁止"意味着你没有访问相关网址。 "'X框架的选项'，以'否认'"意味着你尝试嵌入框架，但这一页不允许埋通过 X-Frame-Options: "DENY" HTTP头。
错误的格式的服务 add_header. 它应该看起来像(注意报价- always 关键字应放出来的CSP设置):

add_header Content-Security-Policy "default-src 'self'..." always;
错误的格式CSP的主机的来源。主机的来源喜欢 .youtube.com 必须不包含一个领先 . 点：
youtube.com 将允许负载资源从 http(s)://youtube.com 和 *.youtube.com 将允许资源从子 youtube.com.

所以你的语法正确CSP应该看起来像:

add_header Content-Security-Policy "\
default-src 'self' 'unsafe-inline' https://stackpath.bootstrapcdn.com\
https://fonts.googleapis.com infobip.com ws://infobip.com wss://infobip.com youtube.com\
https://cdn.jsdelivr.net http://www.w3.org;\
connect-src 'self' infobip.com wss://infobip.com ws://*.infobip.com\
wss://livechat-fr.infobip.com/chat/web/proxy/ https://doubleclick.net;\
img-src 'self' data: https://openstreetmap.org;\
" always;

注意：

鞋://在线咨询-fr。infobip.com/聊天室/web/代理/492/hybzmnjl/websocket -不包括大胆的路径的一部分，以CSP，因为它改变了每个时间。
该方案的资源喜欢 wss: 涵盖了任何主机的来源与方案(例如 鞋://网站。com/websocket). 因此，我删除了方案资源和离开宿主的来源。
我删除一些不支持的来源，例如 'unsafe-inline' 在 connect-src.
服务应该支持反斜杠 \ 作为线突破了，所以我使用它，因为它很难保持CSP在一个线上。检查你的服务器版本支持这一特征。

注2： 这CSP可以阻止一些消息来源-只是把它们添加到适当的指令。

注3： 考虑移动源自 default-src 指令 script-src + style-src + font-src 指令。因为现在你实际上允许 'unsafe-inline' 在 scrit-src 所以你CSP不保护对XSS. 它也将难以管理CSP在未来，由于资源被混合在一个指令。

谢谢，但不幸的是，我仍然得到同样的错误-独的连接到...失败了。我也会得到：拒绝显示'livechat-fr.infobip.com'在一个框架，因为它设置'X框架的选项'，以'否认'. 这是我设置的头add_header'X框架的选项'"SAMEORIGIN"总是；
你设置 X-Frame-Options "SAMEORIGIN" 在你的服务器，但是 livechat-fr.infobip.com 阻止不是由你的服务器。它的 livechat-fr.infobip.com 出版 X-Frame-Options "DENY" 头防止嵌入。你可能构成的东西在你的错 infobip.com 帐户。
问题就解决了。 CSP的指令。原来，企业网络的是阻止流量从/向infobip和我没有获悉有关。再次感谢您的努力，还是帮我设定的指令艰难的。

独的连接失败之后添加内容的安全政策中的服务器

的问题

其他语言

此页面有其他语言版本

受欢迎的此类别

流行的问题，在这个类别