Closed rustykowski closed 3 months ago
Notiz zum testen später: Für Skripte und Styles auf der eigenen Seite:
default-src 'self' data:;
script-src 'self';
style-src 'self';
Im Kontext eines ESI Requests steht kein Contao Response Context zur Verfügung, den gibt es nur im Main Request. Bedeutet, ich habe keine Chance an die nonce Werte zu kommen. Damit ist keine Kompatibilität zu CSP herstellbar derzeit. Dazu würde es ein kompletten Umbau des Frontend Moduls benötigen.
Das lege ich erstmal auf Eis.
Okay, schade, aber nachvollziehbar. Danke fürs Kümmern und Recherchieren, BugBuster!
Hab neue Ideen bekommen, werde ich demnächst mal probieren, vielleicht funktioniert es damit.
Contao 5.3: Wenn im Startpunkt Content-Security-Policy aktiviert ist, benötigen alle Script-Tags ein nonce-Attribut, ansonsten wird das Script vom Browser blockiert. Habe schon versucht, das Template mod_visitors_fe_invisible so anzupassen, dass das Attribut ausgegeben wird, bisher aber noch ohne Erfolg.