Podání #5696
uzavřený
Nastavení CSP na forum.pirati.cz, aby bylo schopné číst z graph.pirati.cz
Přidáno uživatelem Ondřej Kotas před více než 7 roky(ů). Aktualizováno před více než 6 roky(ů).
0%
Popis
Ahoj TO,
Za účelem vývoje rozšíření pro forum.pirati.cz bych potřeboval povolit na této adrese čtení obsahu z graph.pirati.cz
Tímto vás chci požádat o projednání a nejlépe nasazení mnou požadované změny.
Předem díky za odpověď,
Ondřej
Soubory
| 2017-03-08 03_05_43-Fórum Pirátské strany.png (152 KB) 2017-03-08 03_05_43-Fórum Pirátské strany.png | Ondřej Kotas, 08.03.2017 02:06 |
Aktualizováno uživatelem Anonymní před více než 7 roky(ů)
-add_header "Content-Security-Policy" "default-src 'self'; script-src 'self' 'unsafe-inline' https://piwik.pirati.cz; img-src 'self' https://ipx.pirati.cz https://stream.pirati.cz https://piwik.pirati.cz; style-src 'self' 'unsafe-inline'; child-src 'self' https://pad.pirati.cz; frame-src 'self' https://pad.pirati.cz https://www.youtube-nocookie.com; object-src 'self' https://forum.pirati.cz https://www.pirati.cz https://ipx.pirati.cz";
+add_header "Content-Security-Policy" "default-src 'self'; script-src 'self' 'unsafe-inline' https://piwik.pirati.cz; img-src 'self' https://ipx.pirati.cz https://stream.pirati.cz https://piwik.pirati.cz; style-src 'self' 'unsafe-inline'; child-src 'self' https://pad.pirati.cz; frame-src 'self' https://pad.pirati.cz https://www.youtube-nocookie.com; object-src 'self' https://forum.pirati.cz https://www.pirati.cz https://ipx.pirati.cz; connect-src 'self' https://graph.pirati.cz";
(self je pravdepodobne potreba kvuli nastaveni zobrazovanym for)
A ekvivalentne i X-Webkit-CSP...
Tez doporucuji pridat tohle:
add_header "Referrer-Policy" "strict-origin-when-cross-origin";
Aktualizováno uživatelem Ondřej Kotas před více než 7 roky(ů)
Aspoň nějaké vyjádření příslušného orgánu?
Aktualizováno uživatelem Stanislav Štipl před více než 7 roky(ů)
- Stav změněn z Nový na Dokončen
- Přiřazeno nastaven na Stanislav Štipl
Máte to tam, sorry za zdržení.
edit: tuto hodnotu Referrer-Policy naprostá většina prohlížečů nepodporuje, takže to zatím nemá smysl
Aktualizováno uživatelem Ondřej Kotas před více než 7 roky(ů)
Ahoj Stando,
velmi děkuji za zprocesování.
Bohužel to není celé, dál dostávám toto:
Cross-Origin Request Blocked: The Same Origin Policy disallows reading the remote resource at https://graph.pirati.cz/user/Ondrej.Kotas/groups. (Reason: CORS header ‘Access-Control-Allow-Origin’ missing).
Aktualizováno uživatelem Stanislav Štipl před více než 7 roky(ů)
Jasně, to už nesouvisí s CSP na forum.pirati.cz, ale povolil jsem CORS na graph.pirati.cz
Aktualizováno uživatelem Anonymní před více než 7 roky(ů)
Pokud mozno, nechal bych na graph pomoci CORS povolit kohokoliv a neomezoval bych to na forum. Metoda GET staci, bez cookies, auth hlavicek apod.
Aktualizováno uživatelem Anonymní před více než 7 roky(ů)
Stanislav Štipl napsal:
Však to tak je.
Tak to jsi byl rychlej jako blesk :) Nezkontroloval sem si to pred komentarem a redmine te neupozorni, ze jsi prispel nekam, kde 30 sekund pred tebou nekdo jiny prispel taky )
Diky.
Aktualizováno uživatelem Ondřej Kotas před více než 6 roky(ů)
Ola,
Pokračuju na vývoji rozšíření se šablonami a kromě graph.pirati.cz bych potřeboval, aby fórum mohlo číst i z pad.pirati.cz
Content Security Policy: Nastavení stránky zablokovalo načítání zdroje na https://pad.pirati.cz/p/r.6a0d5b61ea074a3c059d36025b6274a7/export/txt („connect-src https://forum.pirati.cz https://graph.pirati.cz“).
Můžete někdo prosím nastavit i toto? Mockrát děkuji.
Aktualizováno uživatelem Stanislav Štipl před více než 6 roky(ů)
Prosím nepiš do uzavřených podání. Správné řešení je založit nové podání (což jsi udělal a bylo vyřešeno).