Contao-Camp 2024
Ergebnis 1 bis 4 von 4

Thema: Unterschiedliche CSP für Front und Backend

  1. #1
    Contao-Nutzer
    Registriert seit
    24.04.2018.
    Beiträge
    107

    Standard Unterschiedliche CSP für Front und Backend

    Hallo,
    ich wollte fragen wie ich unterschiedliche Content Security Policys für Front und Backend setze, da das Backend unsave-eval braucht und ich das ungerne im Frontend hätte.
    Matthias Honisch
    LocalBranding

  2. #2
    Contao-Nutzer
    Registriert seit
    30.03.2010.
    Ort
    Berlin
    Beiträge
    234

    Standard CSP für Contao-Backend

    Hallo zusammen,

    auf diesen Thread stieß ich, weil ich ein ähnliches Problem habe. Ich war sehr glücklich, mit folgendem Header ein A+ - Ergebnis beim CSP bekommen zu haben.

    Code:
    Header set Content-Security-Policy "default-src 'self' ; img-src 'self' data: https://*.contao.org https://*.algolia.net https://*.algolianet.com https://*.packagist.org https://packagist.org https://*.github.com https://*.github.io ; script-src 'self' https://*.contao.org https://*.algolia.net https://*.algolianet.com https://*.packagist.org https://packagist.org https://*.github.com https://*.github.io https://*.composer-resolver.cloud; connect-src 'self' https://*.contao.org https://*.algolia.net https://*.algolianet.com https://*.packagist.org https://packagist.org https://*.github.com https://*.github.io; font-src 'self' form-action 'self';"
    
    Header set Strict-Transport-Security "max-age=15768000" env=HTTPS
    Da ist bestimmt noch viel zu viel freigegeben, aber ich hatte ja gerade erst begonnen, mir das Thema anzusehen. Doch dann wollte ich im Backend arbeiten und stellte fest, dass das Javascript dort nicht mehr geht. Man kann sich nicht einmal mehr abmelden. Mir ist noch immer nicht klar, warum: Was wird denn da genau inline blockiert, das konnte ich nicht finden?
    Im Contao-Manager funktioniert zwar offenbar alles, aber es sieht auch ein wenig komisch aus (da wird ein Upload-Link oberhalb der Pakete angezeigt, scheint nicht schädlich zu sein, aber...?).

    Hat jemand eine Idee, welche Quellen ich da noch zulassen muss, damit das Backend verwendbar ist?

    Schon einmal herzlichen Dank und einen guten Start ins neue Jahr!

    Jens_
    Lieblingsurlaubsstadt am Meer
    http://www.kolberg-cafe.de

  3. #3
    Contao-Nutzer
    Registriert seit
    30.03.2010.
    Ort
    Berlin
    Beiträge
    234

    Daumen hoch CSP / Contao

    Hallo zusammen,

    ein kurzes Update: Ich habe es nun mit einigem Probieren zu einem ganz akzeptablem Header hinbekommen. Eine Frage kam dabei bei mir auf: Angolia.net wird für Updates benötigt, oder?

    Viele Grüße
    Jens_
    Lieblingsurlaubsstadt am Meer
    http://www.kolberg-cafe.de

  4. #4
    AG Pressearbeit
    Community-Moderator
    Buchautor 'Contao für Webdesigner'
    Avatar von planepix
    Registriert seit
    05.06.2009.
    Ort
    Stuttgart
    Beiträge
    6.464
    Partner-ID
    107
    Contao-Projekt unterstützen

    Support Contao

    Standard

    Ich meine für die Suche (innerhalb des Bundle Repository).
    ---------------------------------
    Beste Grüße planepix
    Contao für Webdesigner (Website), Twitter: @contaowebdesign
    weitzeldesign
    Contao-Sprechstunde
    Contao Schulungen: https://www.weitzeldesign.com/cms-co...chulungen.html
    Contao Jahrbuch: www.contao-jahrbuch.de
    Contao Agenturtag: www.contao-agenturtag.de
    Contao Stammtisch Stuttgart: www.contao-stammtisch-stuttgart.de
    Contao 4 Erfahrungen als Gitbook: https://app.gitbook.com/@planepix/s/...-mit-contao-4/
    Contao 4 & Manager Hosterhinweise: https://github.com/contao/contao-manager/wiki

    Schon wieder ein Update?
    Glücklich sind die, die den Wert erkennen – und wertschätzen.
    „Muss man machen wie beim Zahnarzt. Der bestraft einen auch mit hohen Rechnungen wenn man die Pflege vernachlässigt.”

Aktive Benutzer

Aktive Benutzer

Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)

Lesezeichen

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •