Hallo Community,
ich bin gerade dabei, die Content Security Policy Richtlinien für einen Kunden umzusetzen. Ich habe soweit alles fertig (JS Dateien kombiniert, Inline CSS und JS entfernt etc)
Aktuell bin ich an der htaccess Datei dran, allerdings komme ich nicht weiter.
Code:
Header always set Strict-Transport-Security "max-age=63072000; includeSubDomains; preload"
Header set Content-Type-Options nosniff
Header set Content-Security-Policy "default-src 'none'; base-uri 'self'; object-src 'none'; img-src 'self' data: https://www.kununu.com; script-src 'self' https://www.contao.org https://code.jquery.com https://cdnjs.cloudflare.com; font-src 'self' https://fonts.gstatic.com https://fonts.googleapis.com; style-src 'self' 'unsafe-inline' https://fonts.googleapis.com; form-action 'self'; media-src 'self' https://*.youtube.com; frame-ancestors 'self'; frame-src 'self';"
ist mein Problem.
Diese Direktive klappt einwandfrei, allerdings muss ich das Contao "Verzeichnis" davon ausschließen, weil dort ja inline Skripte etc integriert sind.
Jetzt meine Frage: Wie kann ich eine Header für ein "Subfolder" ausschließen?
Folgendes habe ich probiert:
Code:
Header always set Strict-Transport-Security "max-age=63072000; includeSubDomains; preload"
Header set Content-Type-Options nosniff
RewriteCond %{REQUEST_URI} !^(/contao) [NC]
RewriteRule ^ - [E=ISCSP:1]
Header set Content-Security-Policy "default-src 'none'; base-uri 'self'; object-src 'none'; img-src 'self' data: https://www.kununu.com; script-src 'self' https://www.contao.org https://code.jquery.com https://cdnjs.cloudflare.com; font-src 'self' https://fonts.gstatic.com https://fonts.googleapis.com; style-src 'self' 'unsafe-inline' https://fonts.googleapis.com; form-action 'self'; media-src 'self' https://*.youtube.com; frame-ancestors 'self'; frame-src 'self'; env=ISCSP
-> klappt nicht
Ich wollte eine Variable setzen, die die Header anweisung "steuert"
Code:
<IfModule mod_headers.c>
Header always set Strict-Transport-Security "max-age=63072000; includeSubDomains; preload"
Header set Content-Type-Options nosniff
<If "%{THE_REQUEST} =~ m#\s/+contao/?[?\s]#">
Header set Content-Security-Policy: "default-src 'none'; style-src 'self' 'unsafe-inline';"
</If>
<Else>
Header set Content-Security-Policy "default-src 'none'; base-uri 'self';
object-src 'none'; img-src 'self' data: https://www.kununu.com;
script-src 'self' https://www.contao.org https://code.jquery.com
https://cdnjs.cloudflare.com; font-src 'self' https://fonts.gstatic.com
https://fonts.googleapis.com; style-src 'self' 'unsafe-inline'
https://fonts.googleapis.com; form-action 'self'; media-src 'self'
https://*.youtube.com; frame-ancestors 'self'; frame-src 'self';
-> klappt nicht über eine If Condition
Hat jemand einen rat für mich?
Grüße
Lesezeichen