コンテンツセキュリティポリシーは私のサイトでは機能しませんか？

Question

私は内容が表示されている..私はそれが私のドメインからの私のイメージとCSS自分のドメインとtwemoji maxcdnから、スクリプトをロードし、分析をグーグルことを期待..しかし、それは仕事をdoesnt

Header set Content-Security-Policy: "default-src 'self'; script-src 'self' https://www.google-analytics.com; style-src 'self' https://twemoji.maxcdn.com; img-src 'self' https://twemoji.maxcdn.com" 

このCSPを試してみましたが、いいえCSS！それは画像でプレーンテキストサイトのように見える.. tweemojiからの画像も表示されません、私のサイトでホストされている画像だけが働いて..私もスクリプトsrcとスタイルsrcだけを試してみました..！何も動作していないようだ..私もワイルドカードを試した..！しかし、私はCSPヘッダーを取り出すと、私のサイトは正しくロードされます..！

これは私がその設定でCSPをアクティブにしたときに私のウェブサイトがどのように見えるか..です

私はここで間違って何をやっていますか？私はCSPをhttpウェブサイトで使用しようとしています。私はthisin htaccess ..を使っています！

ともう1つ、インラインCSSも許可する方法は？

Answer 1

あなたが見ているエラーを投稿したり、例のURLを提供できる場合は、style-srcの'unsafe-inline'の不足が問題であると推測します。

"安全でない"ものを追加することの影響を心配しないでください。この場合、リスクは何の隣にもありません。私はそこにCSPが1つもないことを確信しています。これは、些細なサイトにはstyle-src 'unsafe-inline'を使用していません。

Answer 2

チェックした時点で無効になっているため、サイトのCSPヘッダーをシミュレートしました。 oreoshakeが疑うように、あなたのコードにインラインスクリプトとインラインスタイルがありますが、あなたのCSPはこれらを許可していません。

style-srcに'unsafe-inline'を使用すると、これを超えることができます。 script-srcの場合は'unsafe-inline'と'unsafe-eval'が必要なので、まだ問題が発生する可能性があります。両方ともひどくひどく正直なところでは、CSPの目的を破っている。