Fix Dokploy deploy to match agencja-ai runtime clone pattern.

Revert compose to public git clone with env-based HTML generation, allow inline scripts in CSP for YouTube player, and use window.location.origin for embed origin.

Co-authored-by: Cursor <cursoragent@cursor.com>
This commit is contained in:
2026-06-27 17:25:28 +02:00
parent f4775366ef
commit b8bb8eecd2
6 changed files with 76 additions and 51 deletions
+33 -33
View File
@@ -22,45 +22,44 @@ site-slavic-pulse-com/
## Dokploy deployment
**Ten sam model co `site-agencja-ai-com`:** Dokploy kopiuje na serwer **tylko** `docker-compose.yml` + `.env` — nie ma tam `Dockerfile` ani pełnego repo. Kontener przy starcie robi `git clone` publicznego repo, generuje HTML z `.env` i uruchamia nginx.
**Kroki w Dokploy UI:**
1. Nowa aplikacja (Compose) → wklej `docker-compose-example/docker-compose.yml`
2. Wklej `.env` (na podstawie `.env.example`) — ustaw `VIDEO_ID_*`, opisy SEO
2. Wklej `.env` (na podstawie `.env.example`) — ustaw `FRONTEND_PORT`, `VIDEO_ID_*`, opisy SEO
3. **Domains** → dodaj **oba** hosty (Container Port = `80`, HTTPS = Let's Encrypt):
- `slavic-pulse.com`
- `www.slavic-pulse.com`**wymagane** — bez tego www dostaje domyślny cert Traefika (CN=*, self-signed) i telefony pokazują „serwer nie potrafi udowodnić tożsamości”
4. (Opcjonalnie) **Advanced → Redirects** → preset **www → non-www**, żeby `www` przekierowywało na apex
5. Traefik routuje ruch HTTPS → port 80 kontenera (bez mapowania portu na hosta)
6. Deploy — Dokploy klonuje repo na hoście i **buduje obraz z Dockerfile** (brak git clone w kontenerze)
4. (Opcjonalnie) **Advanced → Redirects** → preset **www → non-www**
5. Deploy
**Porty:** nie używaj `ports:` w compose — Traefik/Dokploy łączy się z wewnętrznym `:80`.
W `docker ps` kolumna PORTS może być pusta — to normalne przy routingu przez Traefik.
**Porty:** compose mapuje `${FRONTEND_PORT}:80` (jak agencja-ai). Traefik/Dokploy dodatkowo routuje po FQDN do wewnętrznego portu 80 kontenera.
**Gitea Provider w Dokploy** (OAuth) — autoryzuje Dokploy do listowania repo i deployu z UI.
Repo klonowane jest na **hoście** przez Dokploy; kontener nie potrzebuje tokena GITEA ani `git clone` w runtime.
**Repo musi być publiczne** w Gitea — clone bez tokenu. Po `git push` zrób redeploy, żeby kontener pobrał nowy kod.
## Jak to działa
1. **Build** — Dokploy buduje obraz z `Dockerfile` (nginx + assets + szablony)
2. **Start kontenera**entrypoint generuje `index.html` i `site.webmanifest` ze zmiennych `.env`, usuwa szablony z dysku
3. **Tło** — miniaturka YouTube (`img.youtube.com`) dopasowana do FHD/vertical
4. **Intro wideo** — YouTube IFrame API, autoplay
5. **Po filmie** — przekierowanie (jeśli `POST_VIDEO_REDIRECT_ENABLED=true`) lub tło z miniaturki
1. **Start kontenera**`git clone` publicznego repo do `/app`
2. **`generate-from-env.sh`** — buduje `index.html` i `site.webmanifest` ze zmiennych `.env`
3. **Kopiowanie**`assets/`, `default.conf`, `nginx.conf` → nginx
4. **Cleanup**`rm -rf /app` (brak pełnego repo na dysku kontenera)
5. **Intro wideo** — YouTube IFrame API, autoplay; po filmie redirect lub tło
## Konfiguracja (.env)
| Zmienna | Opis |
|---------|------|
| `FRONTEND_PORT` | Port na hoście (np. `8082`) |
| `VIDEO_ID_FHD` / `VIDEO_ID_VERTICAL` | ID shortów YouTube |
| `POST_VIDEO_REDIRECT_URL_*` | URL po zakończeniu filmu |
| `POST_VIDEO_REDIRECT_ENABLED` | `true` = redirect, `false` = zostaje tło |
**Nie dodawaj do produkcyjnego `.env`:** `GITEA_REPO_URL`, `FRONTEND_PORT` — nie są używane w tym modelu deployu.
## Hardening bezpieczeństwa (wbudowany)
- Build z Dockerfile zamiast runtime git clone — brak tokenów w kontenerze
- Repo publiczne — brak tokena GITEA w kontenerze
- Po starcie `/app` usuwane — brak compose/README/szablonów na dysku
- nginx: whitelist ścieżek, blokada `.env`/`.sh`/`.template`, nagłówki CSP/Referrer-Policy
- Szablony i generator usuwane z kontenera po wygenerowaniu HTML
- CSP z `'unsafe-inline'` dla skryptu YouTube (inline JS w `index.html`)
- `server_tokens off` — ukryta wersja nginx
## Weryfikacja po deployu
@@ -77,34 +76,35 @@ curl -sI https://slavic-pulse.com/random-path | grep HTTP
# Nagłówki bezpieczeństwa
curl -sI https://slavic-pulse.com/ | grep -iE 'content-security-policy|referrer-policy|permissions-policy'
# Brak wersji nginx w Server
curl -sI https://slavic-pulse.com/ | grep -i server
# W kontenerze (na serwerze)
docker exec slavic-pulse-com-frontend ls /opt/slavic-pulse 2>&1 # powinno: No such file
docker inspect slavic-pulse-com-frontend --format '{{range .Config.Env}}{{println .}}{{end}}' | grep -i gitea # brak wyniku
docker logs slavic-pulse-com-frontend --tail 30
docker exec slavic-pulse-com-frontend ls /app 2>&1 # powinno: No such file
docker exec slavic-pulse-com-frontend head -3 /usr/share/nginx/html/index.html
```
## Rozwiązywanie problemów
### Brak portów w `docker ps` (kolumna PORTS pusta)
### Kontener `Restarting` / unhealthy
Przy Traefik/Dokploy bez `ports:` w compose — **to oczekiwane**.
Sprawdź w Dokploy UI: domena → Container Port = **80**, kontener `Up (healthy)`.
### Kontener nie startuje / unhealthy
**Diagnostyka na serwerze:**
```bash
docker logs slavic-pulse-com-frontend --tail 50
```
Typowe przyczyny: błąd builda Dockerfile, brak `.env`, błąd w `generate-from-env.sh`.
Typowe przyczyny:
- Repo **prywatne** → ustaw jako Public w Gitea
- Brak lub błędny `.env` w Dokploy
- Błąd w `generate-from-env.sh` (sprawdź logi)
### Strona czarna / loader bez końca
- Sprawdź konsolę przeglądarki (CSP / YouTube)
- Upewnij się, że `VIDEO_ID_*` są poprawne w `.env`
- Po zmianie `default.conf` lub szablonu: `git push` + redeploy
### Zmiana konfiguracji po deployu
1. Edytuj `.env` w Dokploy
2. Redeploy / restart kontenera (entrypoint regeneruje HTML z nowych zmiennych)
2. Redeploy / restart kontenera (przy starcie ponownie klonuje repo i generuje HTML)
### Błąd certyfikatu SSL na telefonie („serwer nie potrafi udowodnić…”)
@@ -121,8 +121,8 @@ Strona wysyła `Strict-Transport-Security: includeSubDomains`, więc po wizycie
4. Sprawdź: `curl -I https://www.slavic-pulse.com` (powinno być HTTP 200 lub 301, bez błędu SSL)
5. (Opcjonalnie) **Advanced → Redirects****www to non-www**
**Alternatywa w DNS (OVH):** zamiast rekordu A dla `www` ustaw przekierowanie HTTP na `https://slavic-pulse.com` w panelu domeny — wtedy ruch www nie trafia na serwer bez certyfikatu.
**Alternatywa w DNS (OVH):** zamiast rekordu A dla `www` ustaw przekierowanie HTTP na `https://slavic-pulse.com` w panelu domeny.
**Facebook / in-app browser:** linki w postach powinny wskazywać `https://slavic-pulse.com` (bez www). Po naprawie www problem znika także dla użytkowników, którzy wpiszą www ręcznie.
**Facebook / in-app browser:** linki w postach powinny wskazywać `https://slavic-pulse.com` (bez www).
**Odnowienie certyfikatu:** Let's Encrypt odnawia cert automatycznie przez Traefik. Jeśli cert wygasa, w Dokploy sprawdź logi Traefik i czy port 80 jest dostępny z internetu (HTTP-01 challenge).