如何为 Nginx 和 Drupal 8 配置内容安全策略?

如何为 Nginx 和 Drupal 8 配置内容安全策略?

我有一个装有 Ubuntu 18.04 的 Nginx 服务器和一个 Drupal 8 站点。

我读过几篇文章,说不应该使用“unsafe-eval”、“unsafe-inline”

我添加了安全标题,但网站的页面无法再正确加载。

这是我的 Nginx 配置和错误消息:

add_header X-Frame-Options "SAMEORIGIN";
add_header X-XSS-Protection "1; mode=block";
add_header X-Content-Type-Options "nosniff";
add_header Referrer-Policy "strict-origin";
add_header Content-Security-Policy "default-src 'self' https: data:; base-uri 'self';";
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload";
add_header Feature-Policy "speaker 'none';";

拒绝应用内联样式,因为它违反了以下内容安全策略指令:“default-src 'self' https: data:”。要启用内联执行,需要“unsafe-inline”关键字、哈希值(“sha256-Wtc+ZaqA71uBsN9DYJuo5jJMS66UuS5tCIAZnHYzzak=”)或随机数(“nonce-...”)。另请注意,“style-src”未明确设置,因此“default-src”用作后备。

相关内容