Podání #5696
uzavřený
Nastavení CSP na forum.pirati.cz, aby bylo schopné číst z graph.pirati.cz
Přidáno uživatelem Ondřej Kotas před asi 7 roky(ů).
Aktualizováno před asi 6 roky(ů).
Popis
Ahoj TO,
Za účelem vývoje rozšíření pro forum.pirati.cz bych potřeboval povolit na této adrese čtení obsahu z graph.pirati.cz
Tímto vás chci požádat o projednání a nejlépe nasazení mnou požadované změny.
Předem díky za odpověď,
Ondřej
Soubory
-add_header "Content-Security-Policy" "default-src 'self'; script-src 'self' 'unsafe-inline' https://piwik.pirati.cz; img-src 'self' https://ipx.pirati.cz https://stream.pirati.cz https://piwik.pirati.cz; style-src 'self' 'unsafe-inline'; child-src 'self' https://pad.pirati.cz; frame-src 'self' https://pad.pirati.cz https://www.youtube-nocookie.com; object-src 'self' https://forum.pirati.cz https://www.pirati.cz https://ipx.pirati.cz";
+add_header "Content-Security-Policy" "default-src 'self'; script-src 'self' 'unsafe-inline' https://piwik.pirati.cz; img-src 'self' https://ipx.pirati.cz https://stream.pirati.cz https://piwik.pirati.cz; style-src 'self' 'unsafe-inline'; child-src 'self' https://pad.pirati.cz; frame-src 'self' https://pad.pirati.cz https://www.youtube-nocookie.com; object-src 'self' https://forum.pirati.cz https://www.pirati.cz https://ipx.pirati.cz; connect-src 'self' https://graph.pirati.cz";
(self je pravdepodobne potreba kvuli nastaveni zobrazovanym for)
A ekvivalentne i X-Webkit-CSP...
Tez doporucuji pridat tohle:
add_header "Referrer-Policy" "strict-origin-when-cross-origin";
Aspoň nějaké vyjádření příslušného orgánu?
- Přiřazeno nastaven na Stanislav Štipl
- Stav změněn z Nový na Dokončen
Máte to tam, sorry za zdržení.
edit: tuto hodnotu Referrer-Policy naprostá většina prohlížečů nepodporuje, takže to zatím nemá smysl
Ahoj Stando,
velmi děkuji za zprocesování.
Bohužel to není celé, dál dostávám toto:
Cross-Origin Request Blocked: The Same Origin Policy disallows reading the remote resource at https://graph.pirati.cz/user/Ondrej.Kotas/groups. (Reason: CORS header ‘Access-Control-Allow-Origin’ missing).
Jasně, to už nesouvisí s CSP na forum.pirati.cz, ale povolil jsem CORS na graph.pirati.cz
Pokud mozno, nechal bych na graph pomoci CORS povolit kohokoliv a neomezoval bych to na forum. Metoda GET staci, bez cookies, auth hlavicek apod.
Naprosto geniální! Díky :)
Stanislav Štipl napsal:
Však to tak je.
Tak to jsi byl rychlej jako blesk :) Nezkontroloval sem si to pred komentarem a redmine te neupozorni, ze jsi prispel nekam, kde 30 sekund pred tebou nekdo jiny prispel taky )
Diky.
Prosím nepiš do uzavřených podání. Správné řešení je založit nové podání (což jsi udělal a bylo vyřešeno).
Také k dispozici: Atom
PDF
Aktualizováno uživatelem Anonymní před 
Aktualizováno uživatelem 
Aktualizováno uživatelem 