Olá,
Tenho um site, não comercial, há mais de 20 anos.
Inicialmente ele usava o antigo Frameset.
Hoje, melhorou só um pouco e o adaptei com iframe. A aparência normal dele está na imagem anexada “Site-normal.jpg”.
Tenho mais de 100 páginas no mesmo site e todas estão no mesmo servidor (Apache 2.4). Não sou programador e nem especialista em nenhuma linguagem na web. Tenho apenas conhecimento superficial em html. Não tenho objetivos comerciais, não viso lucro pois o meu site é apenas pessoal. Sei que o meu site tem uma aparência antiga, fora dos padrões e recursos atuais. Então pequenos ajustes já serão suficientes.
Há pouco tempo passei a usar as ‘Security Headers’ configuradas no .htaccess. Só houve um problema com a CSP – Content-Security-Policy, pois o Firefox e o Chrome desconfiguram o site, que tem um Iframe. O Edge, Opera e todos os outros Browsers mais conhecidos navegam bem.
Já desabilitei todas as extensões e temas desses navegadores.
Estou usando a CSP dessa forma:
Código:
Header set Content-Security-Policy "default-src 'self'; script-src 'self'; img-src 'self'; style-src 'self';base-uri 'self'; form-action 'self'"Já tirei um por um até ficar assim:
Código:
Header set Content-Security-Policy "default-src 'self'"Mas o problema continua no Chrome e Firefox. Alguma sugestão?
Apenas como informação:
Aparência do site normal, usando o Chrome e Firefox:
Aparência do site desconfigurado, usando o Chrome e Firefox:
Achei a raiz do problema.
Na verdade, não tem nada a ver com o fato do meu site ter .
O problema é que os Styles estavam todos INLINE, daí o a necessidade da diretiva “unsafe-inline”.
Fui direto no ChatGPT e ele matou o problema em segundos.
Tirei todos os Styles e Scripts INLINE, coloquei tudo em Pastas separadas, coloquei o link para cada Arquivo.css e Arquivo2.js, tirei o bendito “unsafe-inline” que é bem arriscado de usar, e o site tá rodando muito bem.
Espero que tal dica sirva para outras pessoas que usam os styles e scripts inline e tenham o site desconfigurado com o CSP – Content-Security-Policy.
Aliás, com a chegada da Inteligência Artificial ChatGPT (há muito tempo) e o novíssimo DeepSeek Chinês, que matam qualquer questão em segundos, o que será dos Fóruns de informática?
Não vi um link que permitisse a edição.
Então, em complemento ao segundo parágrafo da resposta acima:
Muitos falam que ‘unsafe-inline'(…)
E nesses casos, deve-se inserir os conteúdos “nonce” ou “hashe”, conforme explica o site :
developer.mozilla.org
CSP: script-src – HTTP | MDN
The HTTP Content-Security-Policy (CSP) script-src directive specifies valid sources for JavaScript. This includes not only URLs loaded directly into elements, but also things like inline script event handlers (onclick) and XSLT stylesheets which can trigger script execution.
developer.mozilla.org developer.mozilla.org
Depois de muito pesquisar, achei no site:
Installation security hints – LimeSurvey Manual
http://www.limesurvey.org http://www.limesurvey.org
a solução para que, tanto o Firefox quanto o Chrome aceitassem uma política de Segurança Content-Security-Policy para sites que usam Iframes.
Muitos falam que ‘unsafe-inline’ é perigoso. No entanto pesquisei e vi que o valor ‘unsafe-inline’ pode ser utilizado nas diretivas script-src e style-src, para permitir a inclusão de códigos CSS e JavaScript inline, ou seja, códigos que não estão em arquivos separados da página, mas sim declarados juntamente com o código HTML.