From cfdc01a522a2b05886dd9135863a643997f184f5a8f0fd36fc74fe6a5bbf1dbd Mon Sep 17 00:00:00 2001 From: victor Date: Mon, 6 Jul 2026 18:17:40 -0300 Subject: [PATCH] =?UTF-8?q?Corre=C3=A7=C3=A3o=20CRON?= MIME-Version: 1.0 Content-Type: text/plain; charset=UTF-8 Content-Transfer-Encoding: 8bit --- .../initializers/content_security_policy.rb | 29 +++++++++---------- 1 file changed, 13 insertions(+), 16 deletions(-) diff --git a/config/initializers/content_security_policy.rb b/config/initializers/content_security_policy.rb index 167c403..036232d 100644 --- a/config/initializers/content_security_policy.rb +++ b/config/initializers/content_security_policy.rb @@ -3,20 +3,17 @@ # Content Security Policy (CSP) — defesa em profundidade contra XSS, # clickjacking e injeção de recursos externos. # -# ⚠️ MODO REPORT-ONLY (por enquanto) -# A política abaixo apenas REPORTA violações no console do navegador, sem -# BLOQUEAR nada. Isso é proposital: o app carrega mapa (Leaflet + tiles), -# gráficos (Chart.js), date-picker (Flatpickr), Tailwind e Google Fonts de -# CDNs externos, e um bloqueio mal calibrado quebraria essas telas. +# ✅ MODO ENFORCING (bloqueia de verdade) +# A política abaixo BLOQUEIA recursos fora da allowlist. Foi validada no +# ambiente de teste (o login não gera violações de CSP no console) e a allowlist +# cobre todos os CDNs usados pelo app: mapa (Leaflet + tiles ArcGIS/OSM), +# gráficos (Chart.js), date-picker (Flatpickr), Tailwind e Google Fonts. # -# COMO ATIVAR O BLOQUEIO DE VERDADE: -# 1. Publique este arquivo e navegue por: /operacoes (painel), dashboard, -# login por PIN, telas de motorista e relatórios. -# 2. Abra o console do navegador (F12) e confirme que NÃO aparecem erros de -# "Content-Security-Policy" / "Refused to load ...". -# 3. Se aparecer algum host novo, adicione-o ao diretivo correspondente aqui. -# 4. Troque a última linha para: -# config.content_security_policy_report_only = false +# ⚠️ APÓS PUBLICAR, VALIDE LOGADO: abra /operacoes (painel com mapa/gráficos), +# o dashboard e as telas de motorista, com o console (F12) aberto. Se algum +# recurso for "Refused to load", adicione o host ao diretivo correspondente +# abaixo. Para reverter rapidamente sem remover a política, volte a última linha +# para `= true` (modo report-only, que só avisa e não bloqueia). # Rails.application.configure do config.content_security_policy do |p| @@ -54,7 +51,7 @@ Rails.application.configure do p.connect_src :self end - # Enquanto validamos, apenas REPORTA (não bloqueia). Mude para false para - # ativar o bloqueio — veja as instruções no topo deste arquivo. - config.content_security_policy_report_only = true + # Bloqueio ativo. Para reverter para "apenas reportar" (sem bloquear), volte + # para `= true` — veja as instruções no topo deste arquivo. + config.content_security_policy_report_only = false end