CSP header

  • Löst sjogrenco

    (@sjogrenco)


    för 3 månader, 2 veckor sedan

    Hej. har upptäckt genom att jag har CSP Evaluator installerad i Edge att Word press har automatiskt lagt till en CSP header på login och admin sidorna ”content-security-policy frame-ancestors ’self’;” genom någon av de senare uppdateringarna, var kommer den ifrån? Har egna CSP headers aktiva på fronten men inte på admin, och även med alla plugin och egen CSP header avaktiverat så finns den kvar på login och admin, var kan man ändra detta?

    Ha en göttig dag/ Lennart

Visar 1 svar - 1 till 2 (av 2 totalt)
  • Moderator tobifjellner (Tor-Bjorn “Tobi” Fjellner)

    (@tobifjellner)

    WordPress-hemmapulare, Projektledare, Författare, Översättare och Vänlig Själ

    för 3 månader, 2 veckor sedan

    Såvitt jag kan hitta, skickar WordPress-kärnan själv inte några CSP-headers. Så det är antingen något eller några säkerhetstillägg i WordPress eller kanske en serverkonfiguration. Om du tillfälligt inaktiverar dina CSP-headers, försvinner de då även i admin?

    Kolla t.ex. i .htaccess om det finns något oväntat där. Dess standardinnehåll styr om alla anrop som inte sammanfaller med ett exakt filnamn till filen index.php. (Tänk på att du kan ha minst två stycken .htaccess, en i roten och en annan under wp-admin.)

    Trådstartare sjogrenco

    (@sjogrenco)

    för 3 månader, 2 veckor sedan

    Mina CSP headers är konfigurerade endast för fronten fullt fungerande med grönt ljus i CSP Evaluator, men har aldrig haft på admin sidorna för att slippa strul vid redigeringar, det var därför som jag upptäckte att det lös rött på min CSP evaluator när man loggar in för det fattas policy för object-src och script-src, admin sidorna är endast åtkomliga från egen ip-adress ändå, detta kommer finnas på en helt orörd installation också för jag hittade efter mycket rotande källan i /wp-includes/functions.php på rad 7154. Frågan är ifall den också skickar hela tiden och man vill ändra frame-ancestors ’self’; policy i sin egen CSP header till något annat än ’self’ vilken som kommer att gälla? Jag markerar som löst för källan är hittad 🙂

    ha en bra dag/Lennart

Visar 1 svar - 1 till 2 (av 2 totalt)

Du måste vara inloggad för att svara på detta ämne.

Etiketter