search

BugBuster1701 / contao-visitors-bundle

Contao 4/5 Visitors Bundle
GNU Lesser General Public License v3.0
2 stars 2 forks source link

CSP-Kompatibilität #164

Closed rustykowski closed 3 months ago

rustykowski commented 4 months ago

Contao 5.3: Wenn im Startpunkt Content-Security-Policy aktiviert ist, benötigen alle Script-Tags ein nonce-Attribut, ansonsten wird das Script vom Browser blockiert. Habe schon versucht, das Template mod_visitors_fe_invisible so anzupassen, dass das Attribut ausgegeben wird, bisher aber noch ohne Erfolg.

<?php
use Contao\CoreBundle\Framework\ContaoFramework;
$nonce = ContaoFramework::getNonce();
?>
<script<?= $this->attr()->setIfExists('nonce', $this->nonce('script-src')) ?>>
    // ... 
</script>
BugBuster1701 commented 3 months ago

Notiz zum testen später: Für Skripte und Styles auf der eigenen Seite:

default-src 'self' data:;
script-src 'self';
style-src 'self';
BugBuster1701 commented 3 months ago

https://community.contao.org/de/showthread.php?86571-CSP-im-FrontendController-nonce-immer-null

BugBuster1701 commented 3 months ago

Im Kontext eines ESI Requests steht kein Contao Response Context zur Verfügung, den gibt es nur im Main Request. Bedeutet, ich habe keine Chance an die nonce Werte zu kommen. Damit ist keine Kompatibilität zu CSP herstellbar derzeit. Dazu würde es ein kompletten Umbau des Frontend Moduls benötigen.

Das lege ich erstmal auf Eis.

rustykowski commented 3 months ago

Okay, schade, aber nachvollziehbar. Danke fürs Kümmern und Recherchieren, BugBuster!

BugBuster1701 commented 3 months ago

Hab neue Ideen bekommen, werde ich demnächst mal probieren, vielleicht funktioniert es damit.