htaccess - Content Security Policy - Set Header

**dhe** · 20.11.2019, 09:51

Hallo Community,
ich bin gerade dabei, die Content Security Policy Richtlinien für einen Kunden umzusetzen. Ich habe soweit alles fertig (JS Dateien kombiniert, Inline CSS und JS entfernt etc)
Aktuell bin ich an der htaccess Datei dran, allerdings komme ich nicht weiter.

Code:

Header always set Strict-Transport-Security "max-age=63072000; includeSubDomains; preload"
    Header set Content-Type-Options nosniff

Header set Content-Security-Policy "default-src 'none'; base-uri 'self'; object-src 'none'; img-src 'self' data: https://www.kununu.com; script-src 'self' https://www.contao.org https://code.jquery.com https://cdnjs.cloudflare.com; font-src 'self' https://fonts.gstatic.com https://fonts.googleapis.com; style-src 'self' 'unsafe-inline' https://fonts.googleapis.com; form-action 'self'; media-src 'self' https://*.youtube.com; frame-ancestors 'self'; frame-src 'self';"

ist mein Problem.

Diese Direktive klappt einwandfrei, allerdings muss ich das Contao "Verzeichnis" davon ausschließen, weil dort ja inline Skripte etc integriert sind.

Jetzt meine Frage: Wie kann ich eine Header für ein "Subfolder" ausschließen?
Folgendes habe ich probiert:

Code:

  Header always set Strict-Transport-Security "max-age=63072000; includeSubDomains; preload"
    Header set Content-Type-Options nosniff

    RewriteCond %{REQUEST_URI} !^(/contao) [NC]
    RewriteRule ^ - [E=ISCSP:1]
   Header set Content-Security-Policy "default-src 'none'; base-uri 'self';  object-src 'none'; img-src 'self' data: https://www.kununu.com;  script-src 'self' https://www.contao.org https://code.jquery.com  https://cdnjs.cloudflare.com; font-src 'self' https://fonts.gstatic.com  https://fonts.googleapis.com; style-src 'self' 'unsafe-inline'  https://fonts.googleapis.com; form-action 'self'; media-src 'self'  https://*.youtube.com; frame-ancestors 'self'; frame-src 'self'; env=ISCSP

-> klappt nicht
Ich wollte eine Variable setzen, die die Header anweisung "steuert"

Code:

<IfModule mod_headers.c>
Header always set Strict-Transport-Security "max-age=63072000; includeSubDomains; preload"
    Header set Content-Type-Options nosniff
    <If "%{THE_REQUEST} =~ m#\s/+contao/?[?\s]#">
        Header set Content-Security-Policy: "default-src 'none'; style-src 'self' 'unsafe-inline';"
    </If>
    <Else>
          Header set Content-Security-Policy "default-src 'none'; base-uri 'self';
 object-src 'none'; img-src 'self' data: https://www.kununu.com; 
script-src 'self' https://www.contao.org https://code.jquery.com 
https://cdnjs.cloudflare.com; font-src 'self' https://fonts.gstatic.com 
https://fonts.googleapis.com; style-src 'self' 'unsafe-inline' 
https://fonts.googleapis.com; form-action 'self'; media-src 'self' 
https://*.youtube.com; frame-ancestors 'self'; frame-src 'self';

-> klappt nicht über eine If Condition

Hat jemand einen rat für mich?

Grüße

**dhe** · 22.11.2019, 08:14

Hallo an alle,
ich bin darüber aufgeklärt worden, das mein Ansatz falsch war: der Apache kann keine Auswertung selbst vornehmen, sprich in Case A Header 1 und Case B Header 2 auspielen, das geht nur anwendungsseitig.
Ich habe es aber anders gelöst bekommen:
Ich habe die Content Security Policy Direktive als <meta> Tag bei "zusätzliche Head Tags" im Theme Bereich eingetragen. Klappt 1a.

Grüße