Dasko
941399032b
Problem: u Operi i Chrome-u na Chart.js grafikonu (Izveštaji) stubići
se vide, ali slova i brojevi ne. U Firefoxu sve radi ispravno.
Uzrok 1 — CSP font-src 'self' (internal/middleware/bezbednost.go):
Chromium primenjuje CSP font-src direktivu i na canvas.fillText(),
blokirajući sistemske fontove jer nisu sa 'self' origina.
Firefox ovu proveru ne radi.
Uzrok 2 — nedostaje font family u Chart.js konfiguraciji:
Canvas na Linuxu ne ume sam da pronađe font sa ćiriličnim slovima
(Helvetica/Arial ih često nemaju za canvas iako ih imaju u DOM-u).
Rešenje:
- Uklonjena font-src direktiva iz CSP-a
- Dodat family: 'DejaVu Sans, Ubuntu, system-ui, sans-serif' na
legendu, x-osu i y-osu Chart.js grafikona
24 lines
755 B
Go
24 lines
755 B
Go
package middleware
|
|
|
|
import "net/http"
|
|
|
|
// BezbednostHeaders dodaje standardne HTTP security headere na svaki odgovor
|
|
func BezbednostHeaders() func(http.Handler) http.Handler {
|
|
return func(next http.Handler) http.Handler {
|
|
return http.HandlerFunc(func(w http.ResponseWriter, r *http.Request) {
|
|
h := w.Header()
|
|
h.Set("X-Frame-Options", "DENY")
|
|
h.Set("X-Content-Type-Options", "nosniff")
|
|
h.Set("X-XSS-Protection", "1; mode=block")
|
|
h.Set("Referrer-Policy", "strict-origin-when-cross-origin")
|
|
h.Set("Content-Security-Policy",
|
|
"default-src 'self'; "+
|
|
"style-src 'self' 'unsafe-inline'; "+
|
|
"script-src 'self' 'unsafe-inline'; "+
|
|
"img-src 'self' data: blob:; "+
|
|
"connect-src 'self'")
|
|
next.ServeHTTP(w, r)
|
|
})
|
|
}
|
|
}
|