Avatar for Username

搜尋 Mozilla 技術支援網站

防止技術支援詐騙。我們絕對不會要求您撥打電話或發送簡訊,或是提供個人資訊。請用「回報濫用」功能回報可疑的行為。

了解更多

Firefox e o CSP - Content-Security-Header

  • 1 回覆
  • 0 有這個問題
  • 最近回覆由 Jeff123

Jeff123
Jeff123
more options

Olá,

Há pouco tempo passei a usar as 'Security Headers' configuradas no .htaccess. Só houve um problema com a CSP - Content-Security-Policy, pois o Firefox desconfigura o site, que tem um Iframe. Os outros Browsers mais conhecidos navegam bem.

Já desabilitei todas as extensões e temas desses navegadores.

Estou usando a CSP dessa forma: Header set Content-Security-Policy "default-src 'self'; script-src 'self'; img-src 'self'; style-src 'self';base-uri 'self'; form-action 'self'"

Já tirei um por um até ficar assim: Header set Content-Security-Policy "default-src 'self'"

Mas o problema continua no Firefox. Alguma sugestão?

Apenas como informação:

Aparência do site normal, usando o Firefox (sem o CSP):

Aparência do site desconfigurado, usando o Firefox (com o CSP):

Olá, Há pouco tempo passei a usar as 'Security Headers' configuradas no .htaccess. Só houve um problema com a CSP - Content-Security-Policy, pois o Firefox desconfigura o site, que tem um Iframe. Os outros Browsers mais conhecidos navegam bem. Já desabilitei todas as extensões e temas desses navegadores. Estou usando a CSP dessa forma: Header set Content-Security-Policy "default-src 'self'; script-src 'self'; img-src 'self'; style-src 'self';base-uri 'self'; form-action 'self'" Já tirei um por um até ficar assim: Header set Content-Security-Policy "default-src 'self'" Mas o problema continua no Firefox. Alguma sugestão? Apenas como informação: Aparência do site normal, usando o Firefox (sem o CSP): Aparência do site desconfigurado, usando o Firefox (com o CSP):
附加的畫面擷圖

所有回覆 (2)

Jeff123
Jeff123 提出問題者
more options

Não vi um link para editar a Pergunta inicial. O título correto é : Firefox e o CSP - Content-Security-Policy

由 Jeff123 於 修改

有幫助嗎?

Jeff123
Jeff123 提出問題者
more options

Depois de muito pesquisar, achei no site: https://www.limesurvey.org/manual/Installation_security_hints a solução para que o Firefox aceitasse uma política de Segurança Content-Security-Policy para sites que usam Iframes.

Muitos falam que  'unsafe-inline'  é perigoso. No entanto pesquisei e vi que o valor 'unsafe-inline' pode ser utilizado nas diretivas script-src e style-src, para permitir a inclusão de códigos CSS e JavaScript inline, ou seja, códigos que não estão em arquivos separados da página, mas sim declarados juntamente com o código HTML. E nesses casos, deve-se inserir os conteúdos "nonce" ou "hashe", conforme explica o site : https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Content-Security-Policy/script-src

Bom, pelo menos, o código abaixo foi o único que funcionou para o meu iframe:

<IfModule mod_headers.c> Header set Content-Security-Policy "default-src 'self'; script-src 'self' 'unsafe-inline'; style-src 'self' 'unsafe-inline'; base-uri 'none'; form-action 'self'; frame-ancestors 'self'; upgrade-insecure-requests" "expr=%{CONTENT_TYPE} =~ m#text\/(html|javascript )|application\/pdf|xml#i" </IfModule>

由 Jeff123 於 修改

有幫助嗎?

問個問題

如果您還沒有帳號,您必須先登入帳號 來回覆文章。還沒有帳號的話,只能發問新問題