NGINX Parsing und Fehler bei Inhaltssicherheitsrichtlinie beim erneuten Laden

Question

Dies ist eine serverseitige CSP-Frage. In NGINX habe ich eine Reihe von Problemen, die Konfiguration neu zu laden, da mein Content Security Policy-Header mir eine schwierige Zeit bereitet.

Ich habe diese Richtlinie wahrscheinlich 8 Mal umgeschrieben und neu geschrieben, aber NGINX wird es nicht akzeptieren. NGINX Version ist nginx/1.10.2, CentOS 6.8, Kernel 2.6.32-642.13.1.el6.x86_64

server { 

[...] //Stuff 

add_header Content-Security-Policy:"default-src 'self';script-src 'self' 'unsafe-inline' https://bam.nr-data.net https://js-agent.newrelic.com https://cdn.mxpnl.com https://ajax.cloudflare.com https://*.redacted.co;style-src 'self' https://*.redacted.co;img-src *;font-src 'self' https://*.redacted.co https://cloud.typography.com; object-src 'none';frame-src 'none';upgrade-insecure-requests;"; 
add_header Strict-Transport-Security "max-age=63072000; includeSubdomains; "; 
add_header X-Frame-Options "DENY"; 
add_header X-XSS-Protection "1; mode=block"; 

[...] //Stuff 

} 

Gibt es etwas offensichtlich, dass ich vermisst habe?

Answer 1

Es sieht so aus, als hätte ich ein Semikolon hinzugefügt, wo es nicht hätte sein sollen. Entfernt und plötzlich war NGINX glücklich.

add_header Content-Security-Policy: sollte add_header Content-Security-Policy

sein