2. 질의 응답
  3. Content Security-Policy는 어디에 구성 할 수 있습니까?

Content Security-Policy는 어디에 구성 할 수 있습니까?

2017-11-28 24 views
0

고객의 경우 마케팅 통계를 수집 할 수 있도록 Facebook 픽셀을 웹 사이트에 구현하고 있습니다. 페이스 북 픽셀은 <head> 태그에 다음과 같은 자바 스크립트로 구현됩니다 Content Security-Policy는 어디에 구성 할 수 있습니까?

<script> 
    !function(f,b,e,v,n,t,s) 
    {if(f.fbq)return;n=f.fbq=function(){n.callMethod? 
    n.callMethod.apply(n,arguments):n.queue.push(arguments)}; 
    if(!f._fbq)f._fbq=n;n.push=n;n.loaded=!0;n.version='2.0'; 
    n.queue=[];t=b.createElement(e);t.async=!0; 
    t.src=v;s=b.getElementsByTagName(e)[0]; 
    s.parentNode.insertBefore(t,s)}(window, 
    document,'script', 
    'https://connect.facebook.net/en_US/fbevents.js'); 
    fbq('init', '*****************'); 
    fbq('track', 'PageView'); 
</script> 
<noscript> 
    <img height="1" width="1" src="https://www.facebook.com/tr?id=***************&ev=PageView&noscript=1" /> 
</noscript>

보시다시피

, 스크립트가 connect.facebook.net 도메인에서 자바 스크립트 파일을 호출한다. 내가 PHP에 내장 된 웹 사이트의 소스 코드 (겪었 

Refused to load the script 'https://connect.facebook.net/en_US/fbevents.js' because it violates the following Content Security Policy directive: "script-src 'self' 'unsafe-inline' 'unsafe-eval' platform.twitter.com s3.amazonaws.com cdn.ckeditor.com cdn.syndication.twimg.com www.google-analytics.com ajax.googleapis.com player.vimeo.com".

: 코드가 생산 서버에 업로드 할 때, 나는 인해 Content-Security-Policy 지침의 위반, 크롬 콘솔에 다음 오류가), Content-Security-Policy 지시어는 어디에도 구성되어 있지 않습니다. 파일 번호는 .htaccess입니다. 비록 이것이 확실하지 않더라도이 일 수 있고 .htaccess 파일로 이루어져야합니다.

편집 : (응답 헤더의 추가 이미지) 오류 메시지뿐만 아니라 위의 스크린 샷에서 볼 수 있듯이 Response headers

,이 Content-Security-Policy 지시 어딘가에 정의 내가 그것을 찾을 필요 그래서 Facebook 도메인을 화이트리스트에 등록 할 수 있습니다. 웹 사이트가 외부 호스팅 제공 업체에 의해 호스팅되기 때문에 아무 접근이없는 파일 인 httpd.conf의 서버 수준에서 수행되었을 수 있습니다.

그래서 제 질문은 :하지 않을 경우이 Content-Security-Policy 지시어는 PHP 코드에서 구성 할 수 있습니다 , html로 <meta http-equiv> 특성 또는 httpd.conf 파일에? 이 일을 다른 곳에서 할 수 있습니까?

출처

2017-11-28 RonRonDK

+0

응답 헤더에 Content-Security-Policy가 있습니까? – jburtondev

+0

메타 태그로 HTML에 없으면 httpd.conf 또는 vhost configs의 Apache 구성에 있어야합니다. 나는 확실히 아파치 디렉토리에있는 모든 설정을 통해 grep 것입니다. 거기에 없다면, 아파치와 브라우저 사이에 프론트 엔드 서버가 있습니까? 그들은 머리말을 추가하고 있을지도 모른다. – AfroThundr

+0

@jburtondev 예. 내가 추가 한 스크린 샷에서 볼 수 있듯이 CSP 헤더가 응답 헤더 사이에 있습니다. AfroThundr : CSP가 HTML에 없기 때문에 서버 수준에서 설정해야한다고 생각합니다. 유령 환경 설정을 상기시켜 주셔서 감사합니다. – RonRonDK

답변

0

지금까지 내가 알고 있어요로서, 이러한 콘텐츠 보안 정책을 설정할 수있는 유일한 장소 :

  • 아파치 설정

    1. 메타 태그 (즉, 헤더의로 예제가 아닌 경우) , ether apache2.conf/httpd.conf 또는 주 파일에 연결된 vhost/config 파일 중 하나. 당신이 할 수있는 경우에 위치를 검사하십시오
    2. .htaccess, 당신이 아파치 윤곽을 직접 접근 할 수없는 경우에 나는 추측 할 것입니다.
    3. PHP의 header()은 헤더가 수동으로 생성되는 경우 작동합니다.

    • 출처

    2018-01-09 17:44:36

     관련 문제

    • 관련 문제 없음^_^