Unterschiedliche CSP für Front und Backend

**lbmh** · 11.11.2020, 16:44

Hallo,
ich wollte fragen wie ich unterschiedliche Content Security Policys für Front und Backend setze, da das Backend unsave-eval braucht und ich das ungerne im Frontend hätte.

**Jens_** · 03.01.2021, 22:36

Hallo zusammen,

auf diesen Thread stieß ich, weil ich ein ähnliches Problem habe. Ich war sehr glücklich, mit folgendem Header ein A+ - Ergebnis beim CSP bekommen zu haben.

Code:

Header set Content-Security-Policy "default-src 'self' ; img-src 'self' data: https://*.contao.org https://*.algolia.net https://*.algolianet.com https://*.packagist.org https://packagist.org https://*.github.com https://*.github.io ; script-src 'self' https://*.contao.org https://*.algolia.net https://*.algolianet.com https://*.packagist.org https://packagist.org https://*.github.com https://*.github.io https://*.composer-resolver.cloud; connect-src 'self' https://*.contao.org https://*.algolia.net https://*.algolianet.com https://*.packagist.org https://packagist.org https://*.github.com https://*.github.io; font-src 'self' form-action 'self';"

Header set Strict-Transport-Security "max-age=15768000" env=HTTPS

Da ist bestimmt noch viel zu viel freigegeben, aber ich hatte ja gerade erst begonnen, mir das Thema anzusehen. Doch dann wollte ich im Backend arbeiten und stellte fest, dass das Javascript dort nicht mehr geht. Man kann sich nicht einmal mehr abmelden. Mir ist noch immer nicht klar, warum: Was wird denn da genau inline blockiert, das konnte ich nicht finden?
Im Contao-Manager funktioniert zwar offenbar alles, aber es sieht auch ein wenig komisch aus (da wird ein Upload-Link oberhalb der Pakete angezeigt, scheint nicht schädlich zu sein, aber...?).

Hat jemand eine Idee, welche Quellen ich da noch zulassen muss, damit das Backend verwendbar ist?

Schon einmal herzlichen Dank und einen guten Start ins neue Jahr!

Jens_

**Jens_** · 20.04.2022, 18:46

Hallo zusammen,

ein kurzes Update: Ich habe es nun mit einigem Probieren zu einem ganz akzeptablem Header hinbekommen. Eine Frage kam dabei bei mir auf: Angolia.net wird für Updates benötigt, oder?

Viele Grüße
Jens_