Tôi đang cố gắng tạo một chính sách bảo mật nội dung mạnh mẽ và an toàn trong nginx, chạy Máy chủ LEMP dựa trên wordpress. Tôi tin rằng tôi đang sử dụng mô-đun ngx_pagespeed.so và đã triển khai FastCGI trên máy chủ của mình.Tôi tin rằng một trong những tính năng này sẽ kết xuất hình ảnh jpeg của tôi thành hình ảnh webP một cách nhanh chóng.
Trong chỉ thị chính sách bảo mật nội dung của tôi trên Nginx, tôi đang cố gắng loại bỏ các cuộc tấn công XSS, trong khi vẫn sử dụng hình ảnh webP được tạo bởi mô-đun tốc độ trang hoặc FastCGI.
Tuy nhiên, để CSP cho phép hình ảnh webP, tôi cần đặt img-src 'tự' dữ liệu:; trong chỉ thị tiêu đề chính sách bảo mật nội dung của tôi như vậy:
add_header Chính sách-bảo mật nội dung "default-src 'self'; script-src 'self'; img-src 'self' data:;";
Vấn đề với điều này là cho phép dữ liệu: khiến trang web của tôi dễ bị tấn công XSS, khiến chính sách bảo mật nội dung trở nên vô nghĩa. Vì vậy, có vẻ như tôi có thể có một trang web siêu an toàn nhưng chậm bằng cách sử dụng jpeg thông thường hoặc tôi có thể có một trang web siêu không an toàn nhưng nhanh bằng cách sử dụng hình ảnh webP do máy chủ kết xuất.
Câu hỏi của tôi là, có cách nào chỉ định hình ảnh webP được cho phép trong chỉ thị CSP không img-src 'tự' dữ liệu;";? Lý tưởng nhất là tôi muốn nói với nginx rằng hình ảnh webP phải được phê duyệt trong CSP, nhưng bất kỳ hình ảnh nào khác bên ngoài trang web của tôi hoặc định dạng webP đều phải bị chặn.
Điều này có thể không? Nếu không, có vẻ như CSP khá vô nghĩa đối với ít nhất 50% máy chủ ngoài kia. Nếu vậy, bạn có thể giúp tôi tìm ra điều này và cho tôi biết cách tôi có thể triển khai lệnh xác định webP là định dạng được phép trong CSP của tôi không?
Cảm ơn vì bất kì sự giúp đỡ!
