0 Пользователей и 1 Гость просматривают эту тему.
  • 8 Ответов
  • 329 Просмотров
*

Игарь

  • Захожу иногда
  • 66
  • 0 / 0
Content Security Policy в консоле
« : 26.02.2020, 22:26:46 »
Опять я =)
Всем доброго времени суток, у меня такая вот штука приключилась.
Установил на сайт формуляр обратной связи от JSN Uniform (хорошая штука!), всё настроил, всё ок.
Просматривал на днях сайт через «инспектор» в консоле и нашёл на странице формуляра вот такое вот многократно повторяющиеся предупреждение:
Content Security Policy: Ignorieren von "'unsafe-inline'" innerhalb script-src: 'strict-dynamic' angegeben
Content Security Policy: Ignorieren von "https:" innerhalb script-src: 'strict-dynamic' angegeben
Content Security Policy: Ignorieren von "http:" innerhalb script-src: 'strict-dynamic' angegeben


Поковырялся и понял что есть связь с reCaptch`ей ибо если её отключить, предупреждение пропадает.
Много уже где успел спросить, сказали лишь то что это с настройками браузера может быть связано.
Вроде как если выключить AddOn`ы и поставит «помягче» настройки privacy, предупреждение пропадёт.

Попробовал, не пропадает, почистил кэч, опять не пропадает.
Вот чем пользуемся:
Joomla: 3.9.15 Stable
Template: Protostar
PHP: 7.3.14
Databank: 5.7-MySQL / 10.3-MariaDB / 9.6-PgSQL (bei bplaced)
Firefox: 73.0 (64-Bit)

Ссылка: https://www.fechtbedarf-bajtinger.de/kontakt




Может кто то знает чем обусловлено это предупреждение или хотя бы что оно означает.




С уважением,
Игарь
*

sivers

  • Завсегдатай
  • 1369
  • 180 / 0
Re: Content Security Policy в консоле
« Ответ #1 : 26.02.2020, 23:33:10 »
Почитайте сперва про эти политики безопасности. Там не браузер настраивать надо (посетителям вы его не настроите), а заголовки, которые ваш сервер отдает браузеру. Именно он сообщает надо ли проверять соответствие расположения скриптов и пр.
Спойлер
[свернуть]
На связи в телеге @sivers
*

Игарь

  • Захожу иногда
  • 66
  • 0 / 0
Re: Content Security Policy в консоле
« Ответ #2 : 27.02.2020, 00:40:00 »
Спасибо за ссылки, прочитал, но если честно понял не много.
Что понял так это то что что то где то не прописано и по этому не является разрешённым (?)

В связи с этим хочу cпросить (если конечно моя гепотиза правильна):
->Как и где настроить CSP что бы reCaptcha правильно грузилась?

"CSP работает по принципу «если что-то не упомянуто, значит запрещено». То есть при отсутствии ключевого слова unsafe-inline все инлайн-тэги style и script будут блокироваться."
->Где упомянуть и как?

"HTTP-заголовок можно прописать прямо в конфигурационных файлах на сервере"
->Т.е. внедрять нужно в index.php в шаблоне?


Я "установил" reCaptch`у посредством нажатия клавиши "Captcha integration", так что мне в принципе вообще не ясно чо он рушается......

https://www.builder-upload.eu/bild-0c64cf-1582753184.png.html

*

sivers

  • Завсегдатай
  • 1369
  • 180 / 0
Re: Content Security Policy в консоле
« Ответ #3 : 27.02.2020, 09:57:06 »
->Т.е. внедрять нужно в index.php в шаблоне?
Нет, эти заголовки должны быть заданы в nginx (или апач, смотря что у вас). Вот еще одна ссылка на настройки этих заголовков в нгинкс. Попробуйте (если имеете доступ) сделать такие же:
Спойлер
[свернуть]

Суть этих политик в том, что сервер сообщает браузеру какие ресурсы можно открывать, а какие нет. Одна из них, например, запрещает (или шлет предупреждения), если скрипты подключены в коде страницы, либо добавляются на лету, либо тянутся со сторонних ресурсов. Это сделано, чтоб предотвратить работоспособность левых скриптов, которые могут быть встроены злоумышленником на ваш сайт.
На связи в телеге @sivers
*

Игарь

  • Захожу иногда
  • 66
  • 0 / 0
Re: Content Security Policy в консоле
« Ответ #4 : 01.03.2020, 23:01:34 »
Ну я так погимаю, это предупреждение не влияет на функцию формуляра обратной связи.
Оно только лишь показывает что в моём случае reCAPTCHA не на моём сайте а отображается с других ресурсов.

ПС.: Chrome так аж 6 предупреждений выдаёт - https://ibb.co/42MDMvL
*

sivers

  • Завсегдатай
  • 1369
  • 180 / 0
Re: Content Security Policy в консоле
« Ответ #5 : 01.03.2020, 23:23:16 »
Оно только лишь показывает что в моём случае reCAPTCHA не на моём сайте а отображается с других ресурсов.
Да, вроде того. Если рекапча у вас при этом работает, то значит политики включены в режиме предупреждения, а не запрещения.
На связи в телеге @sivers
*

Игарь

  • Захожу иногда
  • 66
  • 0 / 0
Re: Content Security Policy в консоле
« Ответ #6 : 02.03.2020, 00:45:51 »
Ясно, пожалуй оставлю кась я всё как есть.
Неохото сначала ломать а потом героичестки ремонтировать  :laugh:

К стате читал на дркгих форумах про ту же ошибку, НИГДЕ она решена не была.
*

sivers

  • Завсегдатай
  • 1369
  • 180 / 0
Re: Content Security Policy в консоле
« Ответ #7 : 02.03.2020, 08:29:43 »
Можете стать первым )
На связи в телеге @sivers
*

Sgrey

  • Захожу иногда
  • 75
  • 4 / 1
Re: Content Security Policy в консоле
« Ответ #8 : 18.03.2020, 15:42:59 »
К стате читал на дркгих форумах про ту же ошибку, НИГДЕ она решена не была.

Странно, достаточно указать правильные политики и ошибок не будет. Вот довольно подробная статья о CSP https://beginpc.ru/internet/setting-up-content-security-policy Возможно вам уже не актуально, поскольку ошибок я на сайте не вижу, впрочем как и заголовка.
Чтобы оставить сообщение,
Вам необходимо Войти или Зарегистрироваться
 

Сбросить фильтр в JL Content Fields Filter

Автор Аня

Ответов: 3
Просмотров: 122
Последний ответ 08.05.2020, 20:28:09
от sivers
Дата на русском (месяц) в модуле BT Content Slider

Автор fireman

Ответов: 5
Просмотров: 376
Последний ответ 12.09.2019, 12:37:56
от fireman
Mixed Content error — как избавиться от ошибки?

Автор abrodski

Ответов: 3
Просмотров: 411
Последний ответ 28.07.2019, 15:13:03
от abrodski
Удалить в ссылках на тег "/content/"

Автор HolySong

Ответов: 0
Просмотров: 172
Последний ответ 10.06.2019, 15:29:28
от HolySong
Фильтр по дополнительному полю - допилить JL Content Fields Filter

Автор antarey

Ответов: 16
Просмотров: 697
Последний ответ 11.04.2019, 19:49:24
от Septdir