Script speichern führt zu 403

**Alok** · 16.03.2023, 16:14

Hallo
In unterschiedlichen Contao-Installationen bei unterschiedlichen Hostern erhalte ich beim speichern von script-Dateien eine 403-Fehlermeldung vom Server.
Es handelt sich hier konkret um Contao 4.9.39 und Contao 4.13.15
Die Fehlermeldung erscheint zum einen beim Abspeichern eines html5-Templates mit script-Inhalt (dies wurde auch schon bei anderen als den oben bezeichneten Contao-Versionen beobchtet) als auch beim Speichern des Seitenlayouts wenn in „Zusätzliche <head>-Tags“ das script-Tag verwendet wird – entweder mit einem Link oder mit Code.
Das script-Tag wurde in den Einstellungen unter „Erlaubte HTML-Tags“ eingetragen, wie von Christian hier beschrieben: https://contao-academy.de/blog/ifram...ntao-einbinden
Danke im Voraus!

**Spooky** · 16.03.2023, 16:16

Vermutlich eine Sicherheitseinstellung des Hosters.

**Alok** · 16.03.2023, 16:28

Danke für die schnelle Reaktion. Wie beschrieben tritt das aber bei unterschiedlichen Hostern auf. Konkret bei Alfahosting und beim schwedischen Anbieter MissHosting. Ich werde mal ein Ticket bei Alfahosting machen.

**Spooky** · 16.03.2023, 16:39

Zitat von Alok

Wie beschrieben tritt das aber bei unterschiedlichen Hostern auf. Konkret bei Alfahosting und beim schwedischen Anbieter MissHosting.

Warum "aber"?

Diese Sicherheitseinstellung gibt es bei mehr als nur einem Hoster. Meistens kommt da Suhosin zum Einsatz.

**Alok** · 21.03.2023, 16:30

Seitens Alfahosting wurde mitgeteilt:

Die (Fehler-)Meldung zeigt an, dass die Website Application Firewall (WAF) einen potenziellen Cross-Site-Scripting-Angriff (XSS) auf der Website mit der URL "https://meineDomain.de/contao" abgefangen hat. Der "Angriff" scheint in den übergebenen HTTP-Argumenten (ARGS) mit dem Namen "source" stattgefunden zu haben. Der Zugriff auf die Website wurde verweigert (HTTP-Statuscode 403)

Es wurden daraufhin von Alfahosting Sicherheitsausnahmen in der Firewall gestzt.