Un utente ha chiesto informazioni su HTTP Headers di Wordpress

Opzioni CSP per incorporare video di YouTube

Un utente ha chiesto 👇

Sto provando a configurarlo e non importa cosa faccio, non riesco a far funzionare il video di YouTube. Ho uno script proveniente da un altro sito in un frame e un video di YouTube in un frame. Se mando https://www.youtube.com sotto il frame src mostra il frame ma i caratteri non vengono caricati e il video non verrà riprodotto e il mio script non funzionerà dall’altro sito. Ho provato ad aggiungere anche io https://www.youtube.com; https://drivesaversdatarecovery.com alla fine della parte src frame e fa lo stesso. Se aggiungo solo un secondo URL, lo script funziona ma il video di YouTube non funziona. Non ho molta esperienza con queste intestazioni, apprezzeremmo qualsiasi aiuto.
Grazie.
Ais

Autore del plugin

(@zinoui)

3 mesi, 2 settimane fa

Immagino sia una questione di sintassi, devi separare una fondazione con uno spazio piuttosto che con un semiconduttore.

Lanciatore di thread

(@ axe6st)

3 mesi, 2 settimane fa

Non funziona in alcun modo. Se separo con una virgola, uno spazio o un punto e virgola.

Lanciatore di thread

(@ axe6st)

3 mesi, 2 settimane fa

Questo è l’aspetto del mio file .htaccess.

# Protect wp-config.php
<Files wp-config.php>
    order deny,allow
    deny from all
</Files>
# HTTP security settings start
<IfModule mod_headers.c>
  Header always set X-Content-Type-Options "nosniff"
  <IfModule mod_setenvif.c>
    SetEnvIf Origin "^(|https://drivesaversdatarecovery.com)$" CORS=$0
  </IfModule>
  Header set Access-Control-Allow-Origin %{CORS}e env=CORS
  Header append Vary "Origin" env=CORS
  Header set Access-Control-Allow-Credentials "true" env=CORS
  Header set Access-Control-Allow-Methods "GET, POST, OPTIONS" env=CORS
  Header set Access-Control-Allow-Headers "Origin" env=CORS
  <FilesMatch ".(php|html)$">
    Header set X-Frame-Options "DENY"
    Header set X-XSS-Protection "1; mode=block"
    Header set Strict-Transport-Security "max-age=2592000; includeSubDomains" env=HTTPS
    Header set Content-Security-Policy "default-src 'self'; script-src 'unsafe-inline' 'unsafe-eval' http: https://drivesaversdatarecovery.com; style-src 'unsafe-inline' http: https://drivesaversdatarecovery.com/; img-src http: data:; font-src 'self' http: data: https://drivesaversdatarecovery.com; media-src 'self' https://drivesaversdatarecovery.com; frame-src 'self' https://drivesaversdatarecovery.com; base-uri 'self'; sandbox allow-forms allow-same-origin allow-scripts"
    Header set P3P 'CP="CAO PSA OUR"'
    Header set Referrer-Policy "no-referrer-when-downgrade"
  </FilesMatch>
</IfModule>

(@csplite)

3 mesi, 1 settimana fa

Chun incorporare Youtube i video sono completamente pianificati frame-src www.youtube.com youtube.com.
Ma sandbox allow-forms allow-same-origin allow-scripts limita l’apertura di un video YT in una nuova finestra se l’utente desidera mettere Mi piace o aggiungere un commento.
Anche tutti i popup sulla tua pagina web saranno disabilitati.
Pertanto è meglio aggiungere un segno “Consenti popup” sandbox guida.

WordPress ha molti potenti plugin per gestire CSP, perché usare .htaccess per questo? CSP sarà pubblicato in .htaccess anche su pagine che non ne hanno affatto bisogno: 304 Nessun cambiamento, 301/302/307/308 Reindirizzamento, 204 Nessun contenuto e così via.
E i plugin ti aiutano a evitare alcuni errori nel CSP.

Questa risposta è stata modificata 3 mesi, una settimana fa da. Questa risposta è stata modificata 3 mesi, una settimana fa da.

Was this helpful?

0 / 0

Lascia un commento 0

Your email address will not be published. Required fields are marked *