CSP und Umgang mit inline-styles

[MM81]

Moin zusammen,
immer wieder stolpere ich bei der Einrichtung der CSP über die Frage, wie man am besten mit den inline-styles umgeht. Bei kleineren Seiten, die der Kunde auch nicht selbst pflegt, kann ich Sorge für tragen dass keine inline styles gesetzt sind. Oder wenn es gar nicht anders geht den hash eintragen.

Aber was mache ich denn bei größeren Seiten, bei denen die Redakteure fleißig und reichlich für inline-styles sorgen?

Wie geht ihr damit um? Eine globale Lösung - mit einem einmaligen Eintrag der idealerweise für die gesamte Seite gilt, scheint es nicht zu geben. Zumindest ist mir da nix bekannt.

Wäre toll zu hören, wie ihr das löst.

vg

[lbableck]

Dafür gibts den csp_inline_styles Twig Filter. Standardmäßig im component/_rich_text.html.twig schon drin.

[Spooky]

Meinst du Inline Styles, die über den TinyMCE gesetzt werden? Dafür werden bereits automatisch Hashes erzeugt. Besser ist es natürlich trotzdem, wenn du das nicht erlaubst (auch aus Accessibility Gründen).

[MM81]

Ja ich meine Inline-Styles, die die Redakteure beim Bearbeiten und Formatieren ihrer Beiträge verursachen.
Mit style-src 'self' im CSP bekomme ich ne riesen Liste an Fehlern in der Konsole. Die hätte ich gern beseitigt. Nur wie? Ich kann doch nicht die ganzen hashes in der CSP ergänzen ...

[Spooky]

Wie gesagt sollte das automatisch passieren - es sei denn natürlich du hast entweder angepasste Templates oder Templates aus eigenen Erweiterungen. Worum genau geht es dir zum Beispiel?

[MM81]

Also eigene Erweiterungen habe ich nicht.
Es geht um reguläre Textarbeiten der Redakteure. Wenn die Tabellen einfügen, Texte ausrichten etc. - also Standard würde ich meinen.
Mit CSP "default-src 'self'; style-src 'self' ;" kommen dann schnell zig Fehler in der Konsole zusammen.

Content-Security-Policy: Die Einstellungen der Seite haben die Anwendung eines Inline-Styles (style-src-attr) blockiert, da er gegen folgende Direktive verstößt: "style-src 'self'". Ziehen Sie die Verwendung eines Hashs ('sha256-gLAeBkJ6icrmXacFfmO8=', benötigt 'unsafe-hashes' für Stil-Attribute) oder einer Nonce in Erwägung.
Source: width: 24.2077%;

Soweit ich das Thema durchdrungen habe ergänze ich den hash in der csp-Liste. Bei umfangreichen Seiten mit permanenter Arbeit der Redakteure werde ich doch da aber nicht fertig.
Also wo ist mein Fehler? Was verstehe ich hier nicht? Eine unsafe-inline Anweisung will ich vermeiden.

[Spooky]

Es geht um reguläre Textarbeiten der Redakteure.

Wo genau meinst du? Meinst du das normale "Text" Inhaltselement bspw.?

[MM81]

Ja, das ganz normale Textelement.

[Spooky]

Nutzt du angepasste Templates dafür?

[MM81]

Nein, auch nicht. Es geht um reine Text-Inhaltselemente, die auch das core-eigene Template verwenden.

[Spooky]

Wie gesagt werden die Hashes mit den Default Templates (auch in den Legacy Templates) automatisch hinzugefügt. Du müsstest nun näher analysieren, warum das bei dir scheinbar nicht der Fall ist.

[MM81]

ok, dann such ich weiter. narf

[Spooky]

Poste mal den Link zur Seite, evt. sieht man etwas von außen.

[MM81]

ich schicke dir eine pm

[Spooky]

Grundsätzlich funktioniert es bei dir - was dir allerdings vermutlich noch fehlt ist die contao.csp.allowed_inline_styles Konfiguration. Siehe dazu: https://docs.contao.org/5.x/dev/fram...styleprocessor

[Spooky]

Über config:dump-reference sieht man allerdings leider nicht die Defaults - die müsstest du dir im Code ansehen: https://github.com/contao/contao/blo....php#L943-L957

[mlweb]

Aber was mache ich denn bei größeren Seiten, bei denen die Redakteure fleißig und reichlich für inline-styles sorgen?

Wie geht ihr damit um?

Egal ob große oder kleine Seite, ich lasse bei den Redakteuren grundsätzlich keine Inline-Styles zu. Wenn erforderlich löse ich alles über Klassen, die die Redakteure setzen können.

[Spooky]

Mit CSP "default-src 'self'; style-src 'self' ;" kommen dann schnell zig Fehler in der Konsole zusammen.

Übrigens: das style-src 'self' kannst du hier weglassen, da du ohnehin schon default-src 'self' hast.

[MM81]

Danke Spooky für deinen Support. Hat nun geklappt.