Konfiguration Content Security Police - Apache 2.4

Mutti

Member
Hallo,

kurze Frage mal zur CSP

Die Konfiguration auf dem Apache 2.4 zerschiesst das Design meiner Webseite | Wordpress CMS

Apache config:
# Header always set Content-Security-Policy "default-src 'self'; font-src *;img-src * data:; script-src *; style-src *; media-src *; frame-ancestors*;"
Für einen Tipp, Danke voraus.
 

GwenDragon

Registered User
Öffne bitte die Entwicklerkonsole deines Browsers und schau welche Meldungen da kommen bezüglich der Verletzung der CSP.
Dann kannst du sehen, was geändert werden muss.

Kann sein, dass style-src 'self' 'unsafe-inline'; dir hilft.
 

Joe User

Zentrum der Macht
Sinn der CSP ist aber nicht einfach Jedem Alles zu erlauben, sondern nur Demjenigen Das zu erlauben, was er wirklich zwingend benötigt.
 

GwenDragon

Registered User
@Mutti Im CSP * als Wildcard für Alles zu erlauben ist eine ganz schlechte Idee. Deswegen solltest du erst mal nur deine Domain zulassen mit 'self'.

Dann schaust du, was du von extern in deinem CMS einbindest, in dem du die Entwicklertools deines Browsers bemühst, mal deine Wordpress-Seiten lädst, da kannst du in der Console sehen, was so blockiert wird wegen CSP.
 
Last edited:

Mutti

Member
Hallo, kurze Frage - beschäftige mich aktuell mit meiner CSP.

Ist es möglich die Anweisungen in mehrere Zeilen zu schreiben ( Direkt in die Apache Konfiguration )? Habe dazu nichts gefunden.


Danke voraus.
 
Last edited:
Top