Decidim项目内容安全策略(CSP)配置指南

Decidim项目内容安全策略(CSP)配置指南

什么是内容安全策略(CSP)

内容安全策略(Content Security Policy)是现代Web应用中一项重要的安全机制，它能有效防范跨站脚本攻击(XSS)、数据注入等多种安全威胁。在Decidim这个开源参与式平台中，CSP默认处于启用状态，并采用了较为严格的默认配置策略。

Decidim的默认CSP配置

Decidim的默认CSP配置遵循"最小权限原则"，只允许来自同源的资源加载：

{
  "default-src" => %w('self' 'unsafe-inline'),
  "script-src" => %w('self' 'unsafe-inline' 'unsafe-eval'),
  "style-src" => %w('self' 'unsafe-inline'),
  "img-src" => %w('self'),
  "font-src" => %w('self'),
  "connect-src" => %w('self'),
  "frame-src" => %w('self'),
  "media-src" => %w('self')
}

这个配置中：

• 'self'表示只允许加载当前域的资源
• 'unsafe-inline'允许内联脚本和样式（出于兼容性考虑）
• 'unsafe-eval'允许使用eval等动态执行方法

自定义CSP的两种方式

1. 通过初始化文件配置（推荐）

对于多组织共享同一Decidim实例的情况，建议在config/initializers/decidim.rb文件中进行统一配置。例如，当使用第三方地图服务时：

config.content_security_policies_extra = {
  "connect-src" => %w(https://*.example.com),
  "img-src" => %w(https://*.example.com)
}

这种方式的优势是配置集中管理，适用于所有组织。

2. 通过系统管理面板配置

对于特定组织的个性化需求，可以通过系统管理面板进行CSP配置。这种方式适合：

• 不同组织需要不同外部资源的情况
• 临时性的资源访问需求
• 测试环境下的快速配置调整

开发注意事项

配置验证机制

Decidim会对CSP指令进行验证，如果发现不支持的指令：

• 会在应用控制台输出警告日志
• 不会应用无效的指令
• 不会中断应用运行

模块开发中的CSP处理

开发自定义模块时，可能需要临时放宽CSP限制。可以通过控制器中的前置过滤器实现：

before_action :append_csp_directives

private

def append_csp_directives
  content_security_policy.append_csp_directive("frame-src", "https://example.com")
end

这种方法可以精确控制特定请求的CSP规则，避免全局放宽带来的安全风险。

最佳实践建议

1. 最小化权限：始终遵循最小权限原则，只添加必要的资源域
2. 测试验证：配置变更后，务必进行全面测试
3. 监控日志：定期检查CSP相关的警告日志
4. 分阶段部署：生产环境变更前，先在测试环境验证
5. 文档记录：详细记录所有CSP例外及其原因

常见应用场景

1. 地图服务集成：添加地图API域名到connect-src和img-src
2. 视频嵌入：添加视频平台域名到media-src和frame-src
3. 分析工具：添加分析服务域名到script-src
4. 字体CDN：添加字体服务域名到font-src

通过合理配置CSP，可以在不牺牲安全性的前提下，为Decidim平台提供灵活的外部资源集成能力。