1a26403afb
Telegram Login Widget в браузере требует именно порт 443 — его CSP frame-ancestors от oauth.telegram.org не учитывает порт домена и всегда подразумевает дефолтный порт схемы, поэтому на 8443 виджет рендерился, но iframe блокировался как cross-origin. VPN-нода, ранее занимавшая 443 на dev VPS, перенесена на другой порт, так что конфликта больше нет. Co-Authored-By: Claude Sonnet 5 <noreply@anthropic.com>
18 lines
1.2 KiB
Caddyfile
18 lines
1.2 KiB
Caddyfile
# Реверс-прокси с реальным TLS для dev VPS — нужен и потому, что Telegram Web
|
|
# Apps (кнопки бота "Личный Кабинет"/"Тарифы"/"Синдикат") требуют https:// URL
|
|
# (см. teloxide WebAppInfo::url), и потому, что Telegram Login Widget в
|
|
# обычном браузере требует именно порт 443 — его CSP `frame-ancestors` от
|
|
# oauth.telegram.org не учитывает порт в зарегистрированном в BotFather домене
|
|
# и всегда подразумевает дефолтный порт схемы (443 для https); на 8443 виджет
|
|
# рендерился, но браузер блокировал iframe как cross-origin.
|
|
#
|
|
# Порт 80 на этом VPS закрыт — обычный HTTP-01 ACME challenge не пройдёт,
|
|
# поэтому TLS через DNS-01 (Cloudflare, см. Dockerfile.caddy), которому
|
|
# открытые 80/443 не нужны для самого выпуска сертификата.
|
|
dev.netrunner-vpn.com {
|
|
tls {
|
|
dns cloudflare {env.CF_API_TOKEN}
|
|
}
|
|
reverse_proxy app:8080
|
|
}
|