• This forum has a zero tolerance policy regarding spam. If you register here to publish advertising, your user account will be deleted without further questions.

Konfiguration Content Security Policy - Apache 2.4

Mutti

Member
Hallo,

kurze Frage mal zur CSP

Die Konfiguration auf dem Apache 2.4 zerschiesst das Design meiner Webseite | Wordpress CMS

Apache config:
# Header always set Content-Security-Policy "default-src 'self'; font-src *;img-src * data:; script-src *; style-src *; media-src *; frame-ancestors*;"

Für einen Tipp, Danke voraus.
 
Öffne bitte die Entwicklerkonsole deines Browsers und schau welche Meldungen da kommen bezüglich der Verletzung der CSP.
Dann kannst du sehen, was geändert werden muss.

Kann sein, dass style-src 'self' 'unsafe-inline'; dir hilft.
 
Sinn der CSP ist aber nicht einfach Jedem Alles zu erlauben, sondern nur Demjenigen Das zu erlauben, was er wirklich zwingend benötigt.
 
@Mutti Im CSP * als Wildcard für Alles zu erlauben ist eine ganz schlechte Idee. Deswegen solltest du erst mal nur deine Domain zulassen mit 'self'.

Dann schaust du, was du von extern in deinem CMS einbindest, in dem du die Entwicklertools deines Browsers bemühst, mal deine Wordpress-Seiten lädst, da kannst du in der Console sehen, was so blockiert wird wegen CSP.
 
Last edited:
Hallo, kurze Frage - beschäftige mich aktuell mit meiner CSP.

Ist es möglich die Anweisungen in mehrere Zeilen zu schreiben ( Direkt in die Apache Konfiguration )? Habe dazu nichts gefunden.


Danke voraus.
 
Last edited:
Hallo, ich muss den Thread nochmal auflegen.

Wie bekomme ich mehrere Hashes in die CSP-Direktive? Das unten funktioniert leider nicht.

Code:
script-src 'self' 'sha256-nQm3FuqXkDQD2h/TY2o5uX8KzsKS4zvvpkUNONwYUoo=' 'sha256-nQm3FuqXkDQD2h/TY2o5uX8KzsKS4zvvpkUNONwYUoo=';

Danke voraus.
 
Laut Content-Security-Policy/script-src gilt folgender Syntax:
Code:
Content-Security-Policy: script-src <source>;
Content-Security-Policy: script-src <source> <source>;
<source> can be one of the following:

  • 'self'
  • '<hash-algorithm>-<base64-value>'
  • und viele andere ...
Man kann mehrere Quellen hintereinander schreiben.

Code:
Content-Security-Policy: script-src 'self' 'sha256-nQm3FuqXkDQD2h/TY2o5uX8KzsKS4zvvpkUNONwYUoo=' 'sha256-nQm3FuqXkDQD2h/TY2o5uX8KzsKS4zvvpkUNONwYUoo=';

Auf der verlinkten Seite wird unter anderem auch darauf hingewiesen, dass die Script-Tags nicht mit enthalten sein dürfen, wenn gehasht wird.
 
Back
Top