Firefox e Chrome com CSP - Content-Security-Policy

  • Iniciador de Tópicos Iniciador de Tópicos Jeff123
  • Data de Início Data de Início
J

Jeff123

New Member
Registrado
Olá,

Tenho um site, não comercial, há mais de 20 anos.
Inicialmente ele usava o antigo Frameset.
Hoje, melhorou só um pouco e o adaptei com iframe. A aparência normal dele está na imagem anexada "Site-normal.jpg".

Tenho mais de 100 páginas no mesmo site e todas estão no mesmo servidor (Apache 2.4). Não sou programador e nem especialista em nenhuma linguagem na web. Tenho apenas conhecimento superficial em html. Não tenho objetivos comerciais, não viso lucro pois o meu site é apenas pessoal. Sei que o meu site tem uma aparência antiga, fora dos padrões e recursos atuais. Então pequenos ajustes já serão suficientes.

Há pouco tempo passei a usar as 'Security Headers' configuradas no .htaccess. Só houve um problema com a CSP - Content-Security-Policy, pois o Firefox e o Chrome desconfiguram o site, que tem um Iframe. O Edge, Opera e todos os outros Browsers mais conhecidos navegam bem.

Já desabilitei todas as extensões e temas desses navegadores.

Estou usando a CSP dessa forma:
Código: 
Header set Content-Security-Policy "default-src 'self'; script-src 'self'; img-src 'self'; style-src 'self';base-uri 'self'; form-action 'self'"


Já tirei um por um até ficar assim:
Código: 
Header set Content-Security-Policy "default-src 'self'"


Mas o problema continua no Chrome e Firefox. Alguma sugestão?

Apenas como informação:

Aparência do site normal, usando o Chrome e Firefox:
Site-Normal.jpg


Aparência do site desconfigurado, usando o Chrome e Firefox:
Site-Com-CSP-Desconfigurado.jpg
 
Depois de muito pesquisar, achei no site:

Installation security hints - LimeSurvey Manual

www.limesurvey.org www.limesurvey.org
a solução para que, tanto o Firefox quanto o Chrome aceitassem uma política de Segurança Content-Security-Policy para sites que usam Iframes.

Muitos falam que 'unsafe-inline' é perigoso. No entanto pesquisei e vi que o valor 'unsafe-inline' pode ser utilizado nas diretivas script-src e style-src, para permitir a inclusão de códigos CSS e JavaScript inline, ou seja, códigos que não estão em arquivos separados da página, mas sim declarados juntamente com o código HTML.

Bom, pelo menos, o código abaixo foi o único que funcionou para o meu iframe :

Código: 
<IfModule mod_headers.c>

Header set Content-Security-Policy "default-src 'self'; script-src 'self' 'unsafe-inline'; style-src 'self' 'unsafe-inline'; base-uri 'none'; form-action 'self'; frame-ancestors 'self'; upgrade-insecure-requests" "expr=%{CONTENT_TYPE} =~ m#text\/(html|javascript )|application\/pdf|xml#i"

</IfModule>
 
Não vi um link que permitisse a edição.
Então, em complemento ao segundo parágrafo da resposta acima:

Muitos falam que 'unsafe-inline'(...)
E nesses casos, deve-se inserir os conteúdos "nonce" ou "hashe", conforme explica o site :
developer.mozilla.org

CSP: script-src - HTTP | MDN

The HTTP Content-Security-Policy (CSP) script-src directive specifies valid sources for JavaScript. This includes not only URLs loaded directly into <script> elements, but also things like inline script event handlers (onclick) and XSLT stylesheets which can trigger script execution.
developer.mozilla.org developer.mozilla.org
 
Achei a raiz do problema.
Na verdade, não tem nada a ver com o fato do meu site ter <iframe>.
O problema é que os Styles estavam todos INLINE, daí o a necessidade da diretiva "unsafe-inline".

Fui direto no ChatGPT e ele matou o problema em segundos.

Tirei todos os Styles e Scripts INLINE, coloquei tudo em Pastas separadas, coloquei o link para cada Arquivo.css e Arquivo2.js, tirei o bendito "unsafe-inline" que é bem arriscado de usar, e o site tá rodando muito bem.

Espero que tal dica sirva para outras pessoas que usam os styles e scripts inline e tenham o site desconfigurado com o CSP - Content-Security-Policy.

Aliás, com a chegada da Inteligência Artificial ChatGPT (há muito tempo) e o novíssimo DeepSeek Chinês, que matam qualquer questão em segundos, o que será dos Fóruns de informática?
 
Última edição:
Jeff123 disse:
Achei a raiz do problema.
Na verdade, não tem nada a ver com o fato do meu site ter <iframe>.
O problema é que os Styles estavam todos INLINE, daí o a necessidade da diretiva "unsafe-inline".

Fui direto no ChatGPT e ele matou o problema em segundos.

Tirei todos os Styles e Scripts INLINE, coloquei tudo em Pastas separadas, coloquei o link para cada Arquivo.css e Arquivo2.js, tirei o bendito "unsafe-inline" que é bem arriscado de usar, e o site tá rodando muito bem.

Espero que tal dica sirva para outras pessoas que usam os styles e scripts inline e tenham o site desconfigurado com o CSP - Content-Security-Policy.

Aliás, com a chegada da Inteligência Artificial ChatGPT (há muito tempo) e o novíssimo DeepSeek Chinês, que matam qualquer questão em segundos, o que será dos Fóruns de informática?
Clique para expandir...
Se matarem os fóruns, boa parte do aprendizado dessas inteligências morrem. Querendo ou não, elas são uma grande amálgama do que tem na internet, muitas vezes com respostas iguais as de posts de fóruns, sem botar/tirar uma vírgula.
 
Você deve fazer login ou se registrar para responder aqui.

Users who are viewing this thread

Total: 1 (membros: 0, visitantes: 1)
Voltar
Topo