У меня есть сервер Nginx с Ubuntu 18.04 и сайт Drupal 8.
Я прочитал несколько статей, в которых не следует использовать 'unsafe-eval', 'unsafe-inline'
Я добавил заголовки в целях безопасности, но страницы сайта больше не загружаются правильно.
Вот моя конфигурация Nginx и сообщения об ошибках:
add_header X-Frame-Options "SAMEORIGIN";
add_header X-XSS-Protection "1; mode=block";
add_header X-Content-Type-Options "nosniff";
add_header Referrer-Policy "strict-origin";
add_header Content-Security-Policy "default-src 'self' https: data:; base-uri 'self';";
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload";
add_header Feature-Policy "speaker 'none';";
Отказался от применения встроенного стиля, поскольку он нарушает следующую директиву политики безопасности контента: "default-src 'self' https: data:". Для включения встроенного выполнения требуется либо ключевое слово unsafe-inline, либо хэш ('sha256-Wtc + ZaqA71uBsN9DYJuo5jJMS66UuS5tCIAZnHYzzak ='), либо одноразовый номер ('nonce -...'). Также обратите внимание, что style-src не был задан явно, поэтому default-src используется в качестве запасного варианта.