我有一个在nginx下运行的Jira实例,并且我们在nginx中配置了一些CSP。
现在我们正在安装一个应用程序,它生成触发浏览器扩展的链接,URL以goedit开头:
应用程序的供应商建议使用此CSP标头:
add_header内容安全策略
default-src https: goedit: wss: 'unsafe-inline' 'unsafe-eval';
img-src https: data: 'unsafe-inline'" always;
我现在正尝试将其合并到我们的 CSP 标头中。我们的 CSP 标头包括
frame-src '' https://assets.zendesk.com https://www.facebook.com https://$server_name;
当我现在单击该应用程序的链接之一时,我在控制台中收到此错误消息:
拒绝框架,''因为它违反了以下内容安全策略
directive: "frame-src https://assets.zendesk.com https://www.facebook.com https://my-server.dein-james.de".
我想知道:我需要在frame-src中放入什么才能允许这种链接('')?
我不想删除整个frame-src 部分,我想将它们保留在白名单中。
预先感谢詹斯