Join the Mozilla’s Test Days event from Dec 2–8 to test the new Firefox address bar on Firefox Beta 134 and get a chance to win Mozilla swag vouchers! 🎁

Претражи подршку

Избегните преваре подршке. Никада од вас нећемо тражити да зовете или шаљете поруке на број или да делите личне податке. Пријавите сумњиве радње преко „Пријавите злоупотребу” опције.

Сазнај више

Firefox e o CSP - Content-Security-Header

  • 1 одговор
  • 0 има овај проблем
  • Последњи одговор послао Jeff123

more options

Olá,

Há pouco tempo passei a usar as 'Security Headers' configuradas no .htaccess. Só houve um problema com a CSP - Content-Security-Policy, pois o Firefox desconfigura o site, que tem um Iframe. Os outros Browsers mais conhecidos navegam bem.

Já desabilitei todas as extensões e temas desses navegadores.

Estou usando a CSP dessa forma: Header set Content-Security-Policy "default-src 'self'; script-src 'self'; img-src 'self'; style-src 'self';base-uri 'self'; form-action 'self'"

Já tirei um por um até ficar assim: Header set Content-Security-Policy "default-src 'self'"

Mas o problema continua no Firefox. Alguma sugestão?

Apenas como informação:

Aparência do site normal, usando o Firefox (sem o CSP):

Aparência do site desconfigurado, usando o Firefox (com o CSP):

Olá, Há pouco tempo passei a usar as 'Security Headers' configuradas no .htaccess. Só houve um problema com a CSP - Content-Security-Policy, pois o Firefox desconfigura o site, que tem um Iframe. Os outros Browsers mais conhecidos navegam bem. Já desabilitei todas as extensões e temas desses navegadores. Estou usando a CSP dessa forma: Header set Content-Security-Policy "default-src 'self'; script-src 'self'; img-src 'self'; style-src 'self';base-uri 'self'; form-action 'self'" Já tirei um por um até ficar assim: Header set Content-Security-Policy "default-src 'self'" Mas o problema continua no Firefox. Alguma sugestão? Apenas como informação: Aparência do site normal, usando o Firefox (sem o CSP): Aparência do site desconfigurado, usando o Firefox (com o CSP):
Приложени снимци екрана

Сви одговори (2)

more options

Não vi um link para editar a Pergunta inicial. O título correto é : Firefox e o CSP - Content-Security-Policy

Измењено од стране Jeff123

Корисно?

more options

Depois de muito pesquisar, achei no site: https://www.limesurvey.org/manual/Installation_security_hints a solução para que o Firefox aceitasse uma política de Segurança Content-Security-Policy para sites que usam Iframes.

Muitos falam que  'unsafe-inline'  é perigoso. No entanto pesquisei e vi que o valor 'unsafe-inline' pode ser utilizado nas diretivas script-src e style-src, para permitir a inclusão de códigos CSS e JavaScript inline, ou seja, códigos que não estão em arquivos separados da página, mas sim declarados juntamente com o código HTML. E nesses casos, deve-se inserir os conteúdos "nonce" ou "hashe", conforme explica o site : https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Content-Security-Policy/script-src

Bom, pelo menos, o código abaixo foi o único que funcionou para o meu iframe:

<IfModule mod_headers.c> Header set Content-Security-Policy "default-src 'self'; script-src 'self' 'unsafe-inline'; style-src 'self' 'unsafe-inline'; base-uri 'none'; form-action 'self'; frame-ancestors 'self'; upgrade-insecure-requests" "expr=%{CONTENT_TYPE} =~ m#text\/(html|javascript )|application\/pdf|xml#i" </IfModule>

Измењено од стране Jeff123

Корисно?

Постави питање

Морате да се пријавите на налог да би одговарали на поруке. Поставите ново питање, ако још увек немате налог.