El nombre de la directiva Content-Security-Policy ‘amazonaws.com’ contiene uno o más caracteres no válidos.
Estoy utilizando next@12 para generar el CSP utilizando el archivo next.config.js y este es el error que recibo en mi consola:
El nombre de la directiva Content-Security-Policy ‘amazonaws.com’ contiene uno o más caracteres no válidos. Solo se permiten caracteres alfanuméricos ASCII o guiones ‘-‘.
Aquí está la cabecera que estoy utilizando:
{
key: "Content-Security-Policy",
value: "amazonaws.com *.amazonaws.com cloudinary.com *.cloudinary.com",
},
Según web.dev:
Falta la directiva script-src. Esto puede permitir la ejecución de scripts inseguros.
La falta de la directiva object-src permite la inyección de complementos que ejecutan scripts inseguros. Considera establecer object-src en ‘none’ si es posible.
Intento configurar estos parámetros, pero esto hace que mi sitio se bloquee. Probablemente lo estoy haciendo mal. ¿Alguna idea de cómo configurarlos correctamente?
davy.ai
Basado en el mensaje de error y la recomendación de web.dev, parece que el problema está en el uso del dominio “amazonaws.com” en el encabezado Content-Security-Policy. Este nombre de dominio contiene un punto (.) que no está permitido en los nombres de directivas CSP.
Para solucionar este problema, puedes intentar actualizar tu encabezado CSP para incluir una directiva script-src que permita solo fuentes confiables para tus scripts. Por ejemplo:
Este encabezado establece políticas estrictas para varias directivas como script-src, img-src y style-src. Al agregar la directiva script-src, podemos especificar que solo se pueden usar fuentes confiables para ejecutar scripts.
Además, estamos incluyendo ‘.amazonaws.com’ y ‘.cloudinary.com’ dentro de la directiva img-src para permitir la carga de imágenes desde estos dominios.
Asegúrate de probar tu sitio a fondo después de realizar cualquier cambio en el encabezado CSP para asegurarte de que todo funcione como se espera.