Contao-Camp 2024
Ergebnis 1 bis 7 von 7

Thema: Content-Security-Policy vs. Contao

  1. #1
    Contao-Fan
    Registriert seit
    10.11.2010.
    Beiträge
    471

    Standard Content-Security-Policy vs. Contao

    Hallo,

    ich versuche mich gerade am Content-Secuirty-Policy-Header:

    Code:
    <meta http-equiv="Content-Security-Policy" content="default-src 'self';">
    Meiner Meinung nach sollten so alle Inhalte erlaubt sein, die von der gleichen Domain stammen. Er lädt so zwar die Haupt-CSS-Datei und auch die Bilder, aber CSS/JS-Dateien von Modulen werden ignoriert (konkret z.B. Flex Slider, Superfish und MobileMenu)

    Jemand eine Idee, was hier das Problem sein kann?

  2. #2
    Community-Moderator
    Wandelndes Contao-Lexikon
    Avatar von Spooky
    Registriert seit
    12.04.2012.
    Ort
    Scotland
    Beiträge
    33.898
    Partner-ID
    10107

    Standard

    Poste einen Link zur Seite.

    Generell wird CSP in Contao nicht einfach ohne Anpassung funktionieren, denn du musst alle inline JavaScript und CSS Scripte entfernen.

  3. #3
    Contao-Fan
    Registriert seit
    10.11.2010.
    Beiträge
    471

    Standard

    Darf ich Dir diesen per PN schicken?

  4. #4
    Contao-Fan Avatar von dhe
    Registriert seit
    25.10.2010.
    Ort
    Esslingen a.N.
    Beiträge
    657

    Standard

    Ich muss hier nochmal nachhaken: Wenn ich die Anweisung in der htaccess in Contao 4.8 eintrage
    Code:
    Header always set Content-Security-Policy "default-src 'self';"
    werden nur Bilder und JS geladen, die sich im "assets" ordner befinden. Ich habe auch auch Bilder direkt aus "files/..." eingebunden, diese werden nicht angezeigt. Woran liegt denn das? hat jemand eine Ahnung?

    Grüße und danke

  5. #5
    Community-Moderator
    Wandelndes Contao-Lexikon
    Avatar von Spooky
    Registriert seit
    12.04.2012.
    Ort
    Scotland
    Beiträge
    33.898
    Partner-ID
    10107

    Standard

    Unter Contao 4.8 werden Bilder erst erzeugt, wenn sie angefordert werden. Das heißt der erste Request auf ein Bild in Assets wird über PHP verarbeitet. Dadurch greift dann deine Server Konfiguration nicht mehr.

  6. #6
    Contao-Fan Avatar von dhe
    Registriert seit
    25.10.2010.
    Ort
    Esslingen a.N.
    Beiträge
    657

    Standard

    Hey Spooky,
    danke für deine Antwort. Allerdings geht das über meinen technischen Stand hinaus.
    Was heißt das für mich genau? Ist die CSP damit nicht für meinen "files/" Ordner möglich?
    Ein Kunden hat seine Seite auf https://observatory.mozilla.org getestet und dabei das entdeckt. Kann ich das irgendwie einstellen?

  7. #7
    Contao-Fan Avatar von dhe
    Registriert seit
    25.10.2010.
    Ort
    Esslingen a.N.
    Beiträge
    657

    Standard

    Ok, man muss wohl einfach Doku lesen. Man muss die einzelnen Sourcetypen auch definieren. Vielleicht hilft es jemand.

    https://wiki.selfhtml.org/wiki/Siche....B6glichkeiten

    Code:
    Header set Content-Security-Policy "default-src 'self'; img-src 'self' data:; script-src 'self' https://*.contao.org https://*.jquery.com; font-src 'self' https://fonts.gstatic.com https://fonts.googleapis.com; style-src 'self' https://fonts.googleapis.com; form-action 'self';"
    Geändert von dhe (21.10.2019 um 14:33 Uhr)

Aktive Benutzer

Aktive Benutzer

Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)

Lesezeichen

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •