Você tem 3 problemas:
O Console de erros mostrados não são CSP-relacionados. "403 Proibido" significa que você não tem acesso à Url. "'Opções do Quadro de X' para 'negar'" significa que você tentar incorporar iframe, mas essa página não permite a incorporação de via X-Frame-Options: "DENY"
Cabeçalho de HTTP.
Formato incorreto do Nginx add_header
. Ele deve se parece (preste atenção para citações - always
palavra-chave deve ser colocado fora do CSP configurações):
add_header Content-Security-Policy "default-src 'self'..." always;
Errado formato de CSP host de fontes. Host de fontes, como .youtube.com
não deve conter um líder .
dot:
youtube.com
permitirá carregar recursos de http(s)://youtube.com e *.youtube.com
permitam que os recursos do subdomínios de youtube.com.
Portanto, o seu sintaticamente correto o CSP deve se parece com:
add_header Content-Security-Policy "\
default-src 'self' 'unsafe-inline' https://stackpath.bootstrapcdn.com\
https://fonts.googleapis.com infobip.com ws://infobip.com wss://infobip.com youtube.com\
https://cdn.jsdelivr.net http://www.w3.org;\
connect-src 'self' infobip.com wss://infobip.com ws://*.infobip.com\
wss://livechat-fr.infobip.com/chat/web/proxy/ https://doubleclick.net;\
img-src 'self' data: https://openstreetmap.org;\
" always;
Observe que:
- wss://livechat-pe.infobip.com/chat/web/proxy/492/hybzmnjl/websocket - não incluem negrito caminho-parte a CSP, porque é alterado a cada vez.
- O esquema de fontes, como
wss:
cobre qualquer host de fontes com que esquema (por exemplo, o wss://site.com/websocket). Então eu apaguei o esquema de fontes e deixou o host de fontes.
- Eu apaguei algumas não suportado fontes, por exemplo
'unsafe-inline'
no connect-src
.
- Nginx devem apoiar uma barra invertida
\
como quebra de linha, então eu usei isso porque é difícil manter CSP em uma linha. Verifique sua Nginx versão oferece suporte a esse recurso.
Nota 2: Este CSP pode bloquear algumas fontes - basta adicioná-los para o adequado directivas.
Nota 3: Considere mover os fontes do default-src
directiva para o script-src
+ style-src
+ font-src
directivas. Porque agora você, na verdade, permite 'unsafe-inline'
no scrit-src
assim, o CSP não protege contra XSS. Ele também vai ser difícil de gerir CSP no futuro, uma vez que as fontes são misturados em uma directiva.