Intento permitir solo 'self' y ' enlace ' mediante:
"add_header Content-Security-Policy "default-src 'self'; script-src 'self' https://cdn.jsdelivr.net";
Encontré un problema donde puedo cargar enlace con el siguiente encabezado:
"add_header Content-Security-Policy "default-src 'self'; script-src 'self'";
- Al enviar una solicitud GET con cURL (curl --silent -I -L), veo que el encabezado está correctamente configurado:
Servidor: nginx
Fecha: viernes, 21 de diciembre de 2018 09:41:01 GMT
Tipo de contenido: texto / html
Contenido-Longitud: 18480
Modificado por última vez: Jue, 20 de diciembre de 2018 14:33:34 GMT
Conexión: keep-alive
Vary: Aceptar-Codificar
ETag: "5c1ba83e-4830"
Opciones de X-Frame: SAMEORIGIN
Encabezado de referencia: mismo origen
Opciones de tipo de contenido X: nosniff
Protección X-XSS: 1; mode = block
Content-Security-Policy: default-src 'self'; script-src 'self';
Seguridad de transporte estricta: edad máxima = 31536000; includeSubdomains;
Rangos de aceptación: bytes
- La configuración completa de Nginx se puede encontrar en enlace ;
- Mi página HTML contiene la siguiente línea:
<script src="https://cdn.jsdelivr.net/npm/[email protected]/particles.min.js"></script>
Según
Gracias de antemano,
Thomas