SearXNG-Docker项目中CSP策略导致双叹号搜索失效问题分析

问题背景

在SearXNG-Docker项目中，Caddy服务器配置的Content-Security-Policy(CSP)中的form-action指令导致了一个功能性缺陷：用户无法正常使用双叹号(!!)快捷搜索功能。这一问题主要影响Webkit和Chromium内核的浏览器，而Firefox由于对CSP form-action指令的特殊处理能够正常工作。

技术原理分析

双叹号搜索是SearXNG从DuckDuckGo借鉴的重要功能，允许用户通过"!!bang"语法快速跳转到特定网站进行搜索。其实现原理是：

1. 系统维护一个外部bang列表(external_bangs.json)
2. 用户输入!!bang时，前端会构造对应网站的搜索URL
3. 浏览器执行表单提交跳转到目标网站

CSP的form-action指令限制了表单可以提交的目标地址。当前Caddy配置中该指令仅允许'self'（同源）提交，导致浏览器阻止了到外部网站的跳转。

解决方案探讨

项目成员提出了几种解决思路：

1. 完全移除form-action限制：这是最彻底的解决方案。考虑到主流搜索引擎如Google、DuckDuckGo等都不设置此限制，移除后能完全保留功能兼容性。

2. 动态生成白名单：解析external_bangs.json自动生成允许的域名列表。但会带来：

   • HTTP头大小膨胀问题
   • 维护复杂度增加
   • 与URL重写插件(如hostname替换)的兼容性问题

3. 环境变量配置白名单：通过.env文件让管理员自定义允许的域名。虽然灵活但存在：

   • 使用门槛高，需要管理员自行查找正确URL
   • 配置易出错

深入建议

从安全与功能平衡的角度，建议采取以下策略：

1. 简化CSP策略：完全移除form-action等过于严格的限制，回归到主流搜索引擎的安全实践。

2. 安全补偿措施：

   • 强化输入过滤防止XSS
   • 确保HTTPS强制启用
   • 维护严格的同源策略

3. 功能完整性考量：除!!bang外，CSP还可能影响：

   • 音视频CDN的iframe嵌入
   • 图片代理功能
   • 各种插件修改后的URL

实施建议

对于SearXNG-Docker用户，临时解决方案是修改Caddyfile移除form-action限制。长期来看，项目应考虑：

1. 重新评估CSP各指令的实际价值
2. 建立更科学的安全基准
3. 提供清晰的文档说明安全/功能取舍

这个问题反映了安全策略与用户体验间的经典权衡，在搜索引擎这种高度依赖外部资源的环境中，过度限制反而会损害核心功能价值。