Ошибка CSP для загрузочного изображения в гамбургере панели навигации
Я только что добавил политику безопасности контента на свой сайт Django. У меня все работает правильно, за исключением этих двух ошибок для изображений, о которых я понятия не имею, что это такое
Я потратил кучу времени, пытаясь разобраться с этим, пока не заметил, что значок в меню гамбургера bootstrap исчез
В CSS я нашел вот это, говорящее мне, что это должно быть изображение в навигационной панели, вызывающее эту ошибку.
Я нашел несколько обходных путей в Интернете, но они представляют уязвимости безопасности, а я хотел бы сделать это правильно Как я могу решить эту проблему.
CSP
CSP_STYLE_SRC = ("'self'",
"https://cdn.jsdelivr.net/npm/bootstrap@5.1.3/dist/css/bootstrap.min.css",
...
)
CSP_SCRIPT_SRC = ("'self'",
"https://cdn.jsdelivr.net/npm/bootstrap@5.1.3/",
...
)
Из фрагментов кода следует, что вы используете пакет https://django-csp.readthedocs.io/en/latest/configuration.html для обработки установки директив CSP, и это отличный выбор для Django-проектов.
Наиболее безопасным сценарием будет, если вы разрешите загрузку содержимого из того же домена и строго запретите любые другие ресурсы, однако это непрактично. Достаточно хорошей стратегией будет, если вы разрешите 'self' и только явные пути, такие как https://cdn.jsdelivr.net/npm/bootstrap@5.1.3/dist/css/bootstrap.min.css. Такие значения, как https://cdn.jsdelivr.net/npm/bootstrap@5.1.3/, cdn.jsdelivr.net или https: могут вызвать беспокойство, поскольку они будут разрешать широкий спектр ресурсов.
В вашем случае data: может потребоваться директива img-src или default-src, которая будет действовать как запасной вариант, если у вас нет явного значения директивы img-src.
https://csp-evaluator.withgoogle.com/ может дать вам больше рекомендаций по безопасности для вашей текущей конфигурации CSP и конкретных доменов, которые вы используете.