我们使用 Confluence Companion 工具在本地编辑 Confluence 中的文件(https://confluence.atlassian.com/doc/edit-files-170494553.html https://confluence.atlassian.com/doc/edit-files-170494553.html)但自从该工具上次更新后,它就不再工作了。我发现这是因为我们在 NGINX 中设置了 CSP 指令,但无论我做出什么更改;没有任何作用。
原始 CSP 指令:
add_header Content-Security-Policy "default-src https: wss: blob: goedit: 'unsafe-inline' 'unsafe-eval'; connect-src https://*.atlassian.com 'self' ws:; img-src blob: https: data: 'unsafe-inline' *; font-src https: data:" always;
Result:
Refused to frame '' because it violates the following Content Security Policy directive: "default-src https: wss: blob: goedit:". Note that 'frame-src' was not explicitly set, so 'default-src' is used as a fallback.
所以我想,让我们添加frame-src;
add_header Content-Security-Policy "default-src https: wss: blob: goedit: 'unsafe-inline' 'unsafe-eval'; connect-src https://*.atlassian.com 'self' ws:; frame-src 'self'; img-src blob: https: data: 'unsafe-inline' *; font-src https: data:" always;
但现在有报道称;
Refused to frame '' because it violates the following Content Security Policy directive: "frame-src 'self'".
有点迷失在这里,首先为什么它加载......什么都没有?只是'',我希望那里有一个网站或其他东西,但无论我对frame-src做出什么更改,它都会抱怨。
我尝试过的:
frame-src 'self';
frame-src '*';
frame-src '';
frame-src 'self' data:;
frame-src '*.mydomain.com';
frame-src 'none';
甚至尝试通过 X-FRAME-OPTIONS 允许所有框架以及添加框架祖先并以各种方式组合上述所有内容,但结果是相同的。
非常感谢您的帮助。
Thanks!