.conf Problem Content-Security-Policy nginx server ssl verschlüsselt

jeudi 18 février 2016

Hallo zusammen,
ich betreibe einen Server unter Debian mit nginx ssl verschlüsselt.
Nun habe ich meine .conf soweit angepasst das bis auf wenige Elemente alles sauber läuft.
Ein Problem bekomme ich aber nicht in den Griff. Beim WBB4 kann mal als spam-sicherheit für
die Anmeldung ein Captcha einstellen. Dieses wird mit der aktuellen .conf leider blockiert.
Dummerweise finde ich nicht was ich noch freigeben muss damit es auch angezeigt wird.
Es wäre schön wenn mir jemand dabei weiterhelfen könnte.
Hier mal ein Auszug aus meiner .conf

Code:

                add_header                Strict-Transport-Security "max-age=63072000; includeSubdomains; preload";
                        #add_header                Public-Key-Pins 'pin-sha256="PIN1"; pin-sha256="PIN2"; max-age=5184000; includeSubDomains';
                        add_header                        Cache-Control "public";
                        add_header                        X-Frame-Options SAMEORIGIN;
                        add_header                        Alternate-Protocol  443:npn-http/2;
                        add_header                        X-Content-Type-Options nosniff;
                        add_header                        X-XSS-Protection "1; mode=block";
                        add_header                        X-Permitted-Cross-Domain-Policies "master-only";
                        add_header                        "X-UA-Compatible" "IE=Edge";
                        add_header                        "Access-Control-Allow-Origin" "*";
                        add_header                        Content-Security-Policy "script-src 'self' *.gstatic.com *.daswetter.com *http://.twitter.com/woltlab_de 'unsafe-inline' 'unsafe-eval' *.twitter.com *.youtube.com maps.gstatic.com *.googleapis.com *.google-analytics.com cdnjs.cloudflare.com assets.zendesk.com connect.facebook.net; frame-src 'self' *.gstatic.com *.daswetter.com *.youtube.com assets.zendesk.com *.facebook.com s-static.ak.facebook.com tautt.zendesk.com; style-src 'self' *gstatic.com; object-src 'self' *.gstatic.com";
                       
                        pagespeed                        on;
                        pagespeed                        EnableFilters collapse_whitespace;
                        pagespeed                        EnableFilters canonicalize_javascript_libraries;
                        pagespeed                        EnableFilters combine_css;
                        pagespeed                        EnableFilters combine_javascript;
                        pagespeed                        EnableFilters elide_attributes;
                        pagespeed                        EnableFilters extend_cache;
                        pagespeed                        EnableFilters flatten_css_imports;
                        pagespeed                        EnableFilters lazyload_images;
                        pagespeed                        EnableFilters rewrite_javascript;
                        pagespeed                        EnableFilters rewrite_images;
                        pagespeed                        EnableFilters insert_dns_prefetch;
                        pagespeed                        EnableFilters prioritize_critical_css;

                        pagespeed                        FetchHttps enable,allow_self_signed;
                        pagespeed                        FileCachePath /var/lib/nginx/nps_cache;
                        pagespeed                        RewriteLevel CoreFilters;
                        pagespeed                        CssFlattenMaxBytes 5120;
                        pagespeed                        LogDir /var/log/pagespeed;
                        pagespeed                        EnableCachePurge on;
                        pagespeed                        PurgeMethod PURGE;
                        pagespeed                        DownstreamCachePurgeMethod PURGE;
                        pagespeed                        DownstreamCachePurgeLocationPrefix http://127.0.0.1:80/;
                        pagespeed                        DownstreamCacheRewrittenPercentageThreshold 95;
                        pagespeed                        LazyloadImagesAfterOnload on;
                        pagespeed                        LazyloadImagesBlankUrl "data:image/gif;base64,R0lGODlhAQABAIAAAAAAAP///yH5BAEAAAAALAAAAAABAAEAAAIBRAA7";

                        pagespeed                        MemcachedThreads 1;
                        pagespeed                        MemcachedServers "localhost:11211";
                        pagespeed                        MemcachedTimeoutUs 100000;
                        pagespeed                        RespectVary on;

                        pagespeed                        Disallow "*/pma/*";



0 commentaires:

Enregistrer un commentaire

 

Lorem

Ipsum

Dolor