Длина заголовка при настройке Content Security Policy

Смотрите лог ошибок nginx или Apache (в зависимости от того, чью страницу ошибки видите).

На странице "500 Internal Server Error" указано, что ошибку выдает apache. Можно ли этому доверять?

В apache2.conf сменил LogLevel на debug. Затем перезагрузил сервер, воспроизвел ошибку. Однако в логе /var/log/apache2/error.log только записи [notice] и [info]. Т.e ничего критического не зафиксировано.

Тогда я решил в apache2.conf указать в LimitRequestLine и LimitRequestFieldSize значения в два раза меньше дефолтного, т.е. 4096 По идее после перезагрузки сервера, сайт не должен был даже запуститься и сразу выдать 500 ошибку, ведь заголовок Header set Content-Security-Policy практически в два раза больше нового значения.

Но сайт заработал. Получается apache вообще не реагирует на записи LimitRequestLine и LimitRequestFieldSize, однако реагирует на изменение уровня логирования, т.к. начал показывать записи уровня [debug]. Записи сделаны в глобальную область.

Директивы

LimitRequestLine

LimitRequestFieldSize

имеют отношение к заголовкам запроса, а не к заголовкам ответа.

Если я правильно понял, у вас проблема при установке длинного заголовка через mod_headers?

Судя по исходному коду httpd-2.4.28:

Макс длина строки в .htaccess - 8192 байт.

Вы можете обойти проблему, установив заголовок через httpd.conf, там максимальная длина строки - 16*1024*1024 байт.

Документация подтверждает эти цифры

https://httpd.apache.org/docs/2.4/configuring.html

Да, у меня проблема из-за длинного заголовка в <IfModule mod_headers.c> записанного в .htaccess

Для начала попробую разделить строку в .htaccess символом "\".

Если не получится, попробую установить заголовок через httpd.conf

Этот файл имеет такой же синтаксис, что и .htaccess? Достаточно просто добавить следующую запись?

<IfModule mod_headers.c>

Header set Content-Security-Policy "default-src 'self' ..."

</IfModule>

Разделение строк символом "\" не поможет.

Синтаксис httpd.conf почти тот же.

Возможно, вам нужно не в самом httpd.conf добавить строку, а в конкретном VirtualHost (если используется).

Уж лучше передать в index.php этот заголовок. Проблем не будет.

Попробовал добавить заголовок в apache2.conf:

Header set Content-Security-Policy "default-src 'self' ..."

Заголовок передался без проблем. А вот когда я увеличил длину строки больше 8192 байт, то появилась ошибка. На этот раз ошибку 502 вызывал nginx, хотя в конфиге nginx были выставлены следующие параметры

client_header_buffer_size 4k;

large_client_header_buffers 8 16k;

Уровень логирования был crit, и ошибок в логе зафиксировано не было.

Нет, 502 ошибка это опять же апатч не ответил, а nginx передал, что апатч молчит.

На 502 ошибку в error_log nginx будет сообщение. Вы где-то не там смотрите или процесс nginx не может писать в нужный файл.

Попробуйте сделать в nginx

proxy_buffer_size 64k;

proxy_buffers 8 64k;

Смотрите лог апача, он или не ответил, или послал некорректный ответ. Предположу, что он просто не запустился после изменений в конфигурационном файле. Если актуально, проверьте apachectl -T

Учитывая ОС, предположу, что апач там все же 2.2. Думаю, что тс все же не собирал руками более новую версию, а поставил ту, что есть в репах.

А если апач 2.2, то согласно все той же документации, получается, что уже не только .htaccess ограничивается 8192 символами, но и сам конфигурационный файл апача - https://httpd.apache.org/docs/2.2/configuring.html . И соответственно от переноса директив из .htaccess в httpd.conf, ничего не меняется, ибо лимиты там одни. Думаю это и есть причина вашей 502-ой, перенесли строку из .htaccess-а в конфиг, и апач просто не запустился, ругаясь на эту директиву.

Вероятно, я что-то упускаю, но уточните, пожалуйста, почему просто не передавать этот заголовок через nginx, при помощи того же "add_header"? На первый взгляд, это самое простое и вменяемое решение в данном случае.