FreshRSS登录问题排查：Content-Security-Policy阻止内联脚本执行

问题现象

在使用Docker部署的FreshRSS系统中，用户反馈无法正常登录系统。当尝试登录时，浏览器控制台会显示以下错误信息：

Content-Security-Policy: The page's settings blocked an inline script (script-src-elem) from being executed because it violates the following directive: "default-src 'self'" utils.js:42:10

同时，系统日志中记录了403禁止访问的状态码：

159.146.110.180 - - [16/Feb/2025:18:31:58 +0300] "POST /i/?c=auth&a=login HTTP/1.1" 403 6694

技术背景

Content Security Policy (CSP) 是一种重要的网页安全机制，它通过定义哪些外部资源可以被加载和执行来帮助防止跨站脚本攻击(XSS)。在FreshRSS中，CSP策略默认设置为只允许同源('self')的资源执行，这包括JavaScript脚本、CSS样式表等。

内联脚本是指直接写在HTML文档中的JavaScript代码（如<script>alert('hello')</script>），而不是通过外部文件引入的。现代安全策略通常禁止内联脚本执行，除非显式地允许。

问题分析

从错误信息可以看出，FreshRSS的登录功能尝试执行了一个内联脚本，但被CSP策略阻止。这通常发生在以下情况：

1. 系统或插件使用了过时的JavaScript代码编写方式，依赖内联脚本
2. CSP策略配置过于严格，没有为必要的功能添加例外
3. 系统更新后，某些扩展与新的安全策略不兼容

在用户最终的解决方案中，删除扩展文件后问题得到解决，这表明很可能是某个扩展在新版本FreshRSS中不再兼容，仍然使用内联脚本方式导致被CSP策略阻止。

解决方案

对于遇到类似问题的用户，可以尝试以下解决方案：

1. 检查并更新扩展：删除或更新可能导致问题的扩展，特别是那些长时间未维护的扩展

2. 临时禁用CSP（不推荐用于生产环境）： 在FreshRSS配置文件中可以调整CSP策略，但这会降低系统安全性

3. 使用nonce或hash方式允许特定内联脚本： FreshRSS支持通过nonce机制允许特定的内联脚本执行，这需要在代码层面进行修改

4. 完全重新安装： 如用户最初尝试的，备份数据后完全重新安装系统可以解决由配置或文件损坏导致的问题

最佳实践建议

1. 定期更新系统和扩展：保持FreshRSS和所有扩展为最新版本，避免兼容性问题

2. 开发兼容扩展：如果是扩展开发者，应遵循现代前端开发实践，避免使用内联脚本

3. 监控系统日志：定期检查系统日志，及时发现和解决类似403错误

4. 分阶段部署：在生产环境更新前，先在测试环境验证所有功能正常

总结

FreshRSS作为一款注重安全的RSS阅读器，其严格的CSP策略是保护用户数据安全的重要措施。当遇到登录问题时，开发者应首先考虑安全策略与系统组件的兼容性，而不是简单地放宽安全限制。通过更新不兼容的扩展或调整它们的实现方式，可以在保持系统安全性的同时解决功能问题。