Hi, letztens habe ich bemerkt, dass ein paar Webseiten nicht gehen (wie Wiki.js), weil die CSP eval nicht erlaubt.
Dies ist meine CSP:
add_header Content-Security-Policy "default-src 'self' http: https: ws: wss: data: blob: 'unsafe-inline'; frame-ancestors 'self';" always;Ich habs als temporären Fix auskommentiert, jedoch würde ich gerne wissen, was korrekt wäre.
MfG, Danke im Vorraus
skyslycer : Normalerweise formuliert man eine Content-Security-Policy so restriktiv wie möglich. Aktuelle Browser sollten auf der Konsole mitteilen, welche Verstöße gegen die aktuelle Policy erkannt wurden; auf dieser Basis kann man dann Ergänzungen vornehmen. Ohne Wissen um die konkrete Summe aller verwendeten Webseiten ist hier aber keine Hilfestellung möglich. Bei Verwendung von spezifischen Applikationen finden sich vielleicht in zugehörigen spezialisierten Foren oder der Dokumentation entsprechende Anforderungen bzgl. der jeweiligen Policy.
Gegebenenfalls hilft es, wenn man verschiedene Anwendungen an eigene Unterdomänen "bindet", um hier mit alternativen CSP-Definitionen arbeiten zu können.
EDIT: Neben der Webbrowser-Konsole gibt es auch spezialisierte Plugins, welche damit werben, Policies zu generieren, vgl. bspw. Policy Generator (bislang nicht selbst ausprobiert).
Das sehe ich ähnlich. Die CSP muss auf die jeweilige Website zugeschnitten sein, sonst erfüllt sie unter Umständen nicht mehr ihren Zweck oder sperrt eben benötigte Funktionen. Eine Policy mit default-src 'self' http: https: ws: wss: data: blob: 'unsafe-inline' bietet wenig Schutz, weil fast alles erlaubt wird.
Cool, danke! Ich werds mal probieren.
Empfehlenswerte Tools für den Bau einer individuellen, möglichst sicher angepassten CSP sind aus meiner Sicht neben der Konsole des Browsers...
...zum Erstellen und Verbessern der CSP: https://report-uri.com/home/generate
...zum Überprüfen und Verstehen der CSP: https://csp-evaluator.withgoogle.com/
Disclaimer: Benutzung wie immer auf eigene Gefahr!
Deutsch
