Ergebnis 1 bis 2 von 2

Thema: Unterschiedliche CSP für Front und Backend

  1. #1
    Contao-Nutzer
    Registriert seit
    24.04.2018.
    Beiträge
    99

    Standard Unterschiedliche CSP für Front und Backend

    Hallo,
    ich wollte fragen wie ich unterschiedliche Content Security Policys für Front und Backend setze, da das Backend unsave-eval braucht und ich das ungerne im Frontend hätte.
    Matthias Honisch
    LocalBranding

  2. #2
    Contao-Nutzer
    Registriert seit
    30.03.2010.
    Ort
    Berlin
    Beiträge
    219

    Standard CSP für Contao-Backend

    Hallo zusammen,

    auf diesen Thread stieß ich, weil ich ein ähnliches Problem habe. Ich war sehr glücklich, mit folgendem Header ein A+ - Ergebnis beim CSP bekommen zu haben.

    Code:
    Header set Content-Security-Policy "default-src 'self' ; img-src 'self' data: https://*.contao.org https://*.algolia.net https://*.algolianet.com https://*.packagist.org https://packagist.org https://*.github.com https://*.github.io ; script-src 'self' https://*.contao.org https://*.algolia.net https://*.algolianet.com https://*.packagist.org https://packagist.org https://*.github.com https://*.github.io https://*.composer-resolver.cloud; connect-src 'self' https://*.contao.org https://*.algolia.net https://*.algolianet.com https://*.packagist.org https://packagist.org https://*.github.com https://*.github.io; font-src 'self' form-action 'self';"
    
    Header set Strict-Transport-Security "max-age=15768000" env=HTTPS
    Da ist bestimmt noch viel zu viel freigegeben, aber ich hatte ja gerade erst begonnen, mir das Thema anzusehen. Doch dann wollte ich im Backend arbeiten und stellte fest, dass das Javascript dort nicht mehr geht. Man kann sich nicht einmal mehr abmelden. Mir ist noch immer nicht klar, warum: Was wird denn da genau inline blockiert, das konnte ich nicht finden?
    Im Contao-Manager funktioniert zwar offenbar alles, aber es sieht auch ein wenig komisch aus (da wird ein Upload-Link oberhalb der Pakete angezeigt, scheint nicht schädlich zu sein, aber...?).

    Hat jemand eine Idee, welche Quellen ich da noch zulassen muss, damit das Backend verwendbar ist?

    Schon einmal herzlichen Dank und einen guten Start ins neue Jahr!

    Jens_
    Lieblingsurlaubsstadt am Meer
    http://www.kolberg-cafe.de

Aktive Benutzer

Aktive Benutzer

Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)

Lesezeichen

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •