Substituir cabeçalho CSP para localização específica

Question

Substituir cabeçalho CSP para localização específica

#1 resposta do (1 votos)

1

Eu tenho uma configuração nginx que inclui um cabeçalho CSP que é exibido para todas as solicitações. Agora eu preciso substituí-lo em um local específico (que também passa a ser reescrito). Estou pensando em algo assim:

server {
  listen 80;
  listen [::]:80;

  server_name example.com;
  root /var/www;
  index index.php;

  try_files $uri @rewrites;

  add_header Content-Security-Policy "default-src 'self' ; script-src 'self' ; style-src 'self' 'unsafe-inline' ; img-src * 'self' data: ; font-src 'self' ; media-src * 'self' ; form-action 'self'";

  location @rewrites {
    rewrite ^/special/([0-9]*) /special.php?id=$1 last;
    rewrite ^/foo/([a-z]+) /foo.php?method=$1 last;
  }

  location /special {
    add_header Content-Security-Policy "default-src 'self' ; script-src 'self' 'unsafe-inline' ; style-src 'self' 'unsafe-inline' ; img-src * 'self' data: ; font-src 'self' ; media-src * 'self' ; form-action 'self'";
  }

  location ~ \.php$ {
    try_files $uri =404;
    fastcgi_split_path_info ^(.+?\.php)(/.*)$;
    include fastcgi_params;
    fastcgi_index index.php;
    fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
    fastcgi_pass php;
  }
}

No entanto, enquanto isso define o cabeçalho em qualquer solicitação iniciada com /special , isso resulta em um 404, porque não continua no seguinte local que mapeia os arquivos PHP. Como devo fazer isso?

nginx

por Synchro 25.08.2017 / 15:20

1 resposta

Tags nginx

Diretiva do diretório do host virtual do Apache ignorada no segundo host virtual tmpfiles.d - diferença entre as opções 'x' e 'X'?

score 1 · Accepted Answer

Tente ver se o seguinte funciona para você:

http contexto:

map $request_uri $csp_header {
    default "default-src 'self' ; script-src 'self' ; style-src 'self' 'unsafe-inline' ; img-src * 'self' data: ; font-src 'self' ; media-src * 'self' ; form-action 'self'";
    "~^/special" "default-src 'self' ; script-src 'self' 'unsafe-inline' ; style-src 'self' 'unsafe-inline' ; img-src * 'self' data: ; font-src 'self' ; media-src * 'self' ; form-action 'self'";
}

server contexto:

add_header Content-Security-Policy $csp_header;