Чтобы обеспечить правильную работу плагинов, необходимо разрешить запросы на определенные домены (полный список доменов приводится ниже). Для этого надо изменить HTTP-заголовок, включающий политику CSP. В зависимости от решения, которое вы используете, он может находиться в разных файлах. В данной инструкции описываются базовые принципы, а не конкретные случаи. Заголовок должен выглядеть следующим образом:
Header set Content-Security-Policy "default-src 'self'; script-src 'self'; connect-src 'self'; img-src 'self'; style-src 'self';"
Эта строка содержит директивы, которые указывают разрешенные источники для разных типов содержимого: скриптов, таблиц стилей, шрифтов, изображений, элементов <audio>
или <video>
HTML5 и т.д.
Директива default-src
применяется в тех случаях, если директива для определенного типа ресурса не задана.
‘self’
означает, что содержимое можно загружать только с текущего домена.
Необходимо изменить директиву default-src
, добавив значения доверенных доменов:
default-src 'self' *.trusted1.com *.trusted2.com
Это позволит выполнять запросы на указанные доверенные домены *.trusted1.com
и *.trusted2.com
, включая поддомены, и загружать с них содержимое.