Encabezado HTTP de "Política de seguridad del contenido" con "default-src 'self'; script-src 'self' ”no bloquea la descarga del dominio no especificado

0

Intento permitir solo 'self' y ' enlace ' mediante:

"add_header Content-Security-Policy "default-src 'self'; script-src 'self' https://cdn.jsdelivr.net";

Encontré un problema donde puedo cargar enlace con el siguiente encabezado:

"add_header Content-Security-Policy "default-src 'self'; script-src 'self'";
  • Al enviar una solicitud GET con cURL (curl --silent -I -L), veo que el encabezado está correctamente configurado:
  

Servidor: nginx
  Fecha: viernes, 21 de diciembre de 2018 09:41:01 GMT
  Tipo de contenido: texto / html
  Contenido-Longitud: 18480
  Modificado por última vez: Jue, 20 de diciembre de 2018 14:33:34 GMT
  Conexión: keep-alive
  Vary: Aceptar-Codificar
  ETag: "5c1ba83e-4830"
  Opciones de X-Frame: SAMEORIGIN
  Encabezado de referencia: mismo origen
  Opciones de tipo de contenido X: nosniff
  Protección X-XSS: 1; mode = block
Content-Security-Policy: default-src 'self'; script-src 'self';
  Seguridad de transporte estricta: edad máxima = 31536000; includeSubdomains;
  Rangos de aceptación: bytes

  • La configuración completa de Nginx se puede encontrar en enlace ;
  • Mi página HTML contiene la siguiente línea: <script src="https://cdn.jsdelivr.net/npm/[email protected]/particles.min.js"></script>

Según enlace , la descarga desde enlace debe estar bloqueada.

Gracias de antemano,

Thomas

    
pregunta Thomas Defise 20.12.2018 - 14:21
fuente

0 respuestas

Lea otras preguntas en las etiquetas