Вопрос или проблема
Наша организация использует Google Suite for Education Standard через URL нашей организации. Почти все наши пользователи используют Chrome и входят в GSE, используя адрес электронной почты, заканчивающийся на @[mycompany].org. Мой администратор пытается использовать приложение Asana. Однако, когда они пытаются войти, используя Google, после нажатия кнопки ‘войти с помощью Google’ и своего адреса электронной почты, им отображается экран с ‘грустным лицом’, говорящий “Этот контент заблокирован.”
Консоль показывает следующую ошибку:
Отказано в создании фрейма 'https://asana.s3.amazonaws.com/' из-за нарушения следующей директивы политики безопасности контента: "frame-src 'self' blob: https://www.figma.com https://*.invisionapp.com https://invis.io https://miro.com https://whimsical.com https://www.loom.com https://www.youtube.com https://player.vimeo.com https://fast.wistia.com https://www.canva.com https://xd.adobe.com https://*.looker.com https://lucid.app https://*.okta.com https://*.sharepoint.com https://accounts.google.com https://accounts.google.com/gsi/ https://content.googleapis.com https://www.google.com https://docs.google.com https://fast.wistia.net https://www.dropbox.com https://platform.harvestapp.com https://forms.asana.plus https://forms-server.asana.plus https://local.asana.com https://asana.com https://apisandbox.zuora.com https://test.zuora.com https://www.zuora.com https://www.sandbox.paypal.com https://www.paypal.com https://recordwidget.vimeocdn.com https://api.stripe.com https://hooks.stripe.com https://js.stripe.com https://m.stripe.com https://m.stripe.network https://q.stripe.com https://d3ki9tyy5l5ruj.cloudfront.net https://prod-eu1.app.asana.com https://prod-au1.app.asana.com https://prod-jp1.app.asana.com https://cdn.cookielaw.org https://form.asana.com https://form-beta.asana.com https://resources.asana.com https://ccwizard.vertexsmb.com https://*.qualtrics.com".
Очевидно, проблема в том, что политика безопасности контента не включает домен asana.s3.amazonaws.com. Вопрос в том, откуда поступает политика безопасности контента?
Я предполагал, что она внедряется Google по двум причинам. Во-первых, эта проблема возникает только тогда, когда мы пытаемся войти, используя Google с нашего домена; если я делаю это с личной почты gmail, все работает хорошо. Если бы проблема была в коде Asana, это происходило бы у всех и было бы гораздо большей проблемой для Asana. Во-вторых, когда я смотрю на отчет по политике безопасности контента ниже, там сказано, что реферер – accounts.google.com.
csp-report: {document-uri: "https://app.asana.com/?rr=633787", referrer: "https://accounts.google.com/",…}
Однако техническая поддержка Google утверждает, что они не имеют ничего общего с этой CSP. Asana даже не отвечает на мои запросы. Есть ли способ определить, откуда на самом деле поступает эта CSP, чтобы я мог знать, с кем бороться?
Ответ или решение
Ответ на вопрос о том, откуда берется политика безопасности контента (CSP), в данном случае требует внимательного анализа различных факторов, связанных с использованием Google Suite для образования и интеграцией с приложением Asana.
Понимание Политики Безопасности Контента (CSP)
Политика безопасности контента — это механизм безопасности, который помогает предотвратить различные виды атак, таких как межсайтовый скриптинг (XSS) и другие уязвимости, связанные с внедрением содержимого. CSP позволяет администраторам определять, какие ресурсы могут загружаться и исполняться на веб-странице, что может включать скрипты, изображения, стили и фреймы.
Анализ Ситуации
В вашем случае, когда администрация компании пытается войти в приложение Asana, происходит блокировка контента из-за того, что загружаемый ресурс с домена asana.s3.amazonaws.com не включен в разрешенные источники, указанные в текущей CSP.
-
Откуда берется CSP?
- CSP может устанавливаться несколькими способами. Обычно это делается через заголовки HTTP, отправляемые сервером, или через мета-теги в HTML-коде страницы. Также оно может быть установлено в коде самого приложения, в данном случае — Asana.
-
Проблема с доменами:
- Блокировка возникает только при входе через Google. Это может указывать на то, что именно Google предоставляет более строгие настройки CSP для доменов, связанных с Google Suite для образования. Тем не менее, поскольку вы упомянули, что вход с личной учетной записи Gmail работает без проблем, это указывает на необходимость дальнейшего рассмотрения специфики конфигурации для вашего домена.
-
Техническая поддержка Google и Asana:
- Как вы отметили, сотрудники технической поддержки Google утверждают, что они не могут быть источником данной политики, а Asana не предоставляет необходимой помощи. Это может указывать на то, что CSP либо задается непосредственно в настройках вашего Google Suite, либо же искажено в настройках самого приложения Asana.
Рекомендации по Решению Проблемы
-
Проверка Настроек Google Suite:
- В первую очередь, проверьте настройки безопасности в панели администрирования Google Suite. Важно выяснить, могут ли быть установлены ограничения CSP для приложений, интегрирующихся через Google.
-
Анализ Кодировки Asana:
- Поскольку проблема возникает только при попытке входа через Google, попробуйте обратиться в техническую поддержку Asana с детальным описанием проблемы. Возможно, им потребуется внести изменения в обработку CSP для ваших конкретных доменных имен.
-
Логи и Отчеты:
- Продолжайте отслеживать логи и отчеты о CSP. Помните, что информацию о CSP можно найти также в инструментах разработчика вашего браузера, что может помочь в анализе путей возникновения блокировок.
Заключение
Чтобы определить реальный источник проблемы с CSP, может потребоваться комплексный подход, включающий проверку как настроек вашей организации, так и настроек самого приложения Asana. Если вам не удастся получить решения через вспомогательные службы обеих компаний, рассмотрите возможность привлечения сторонних экспертов по безопасности для более глубокого анализа. Удачи в поисках решения!