Nach dem Upgrade das Script-src der Content-Security-Policy für GTM

Gemeinschaft Daten & Berichterstattung
1

Wir wurden am 2021-04-08 auf Discourse aktualisiert.

Anschließend stellten wir fest, dass die Content-Security-Policy möglicherweise Probleme aufweist.

GTM für Content-Security-Policy-Skript-Quellen

2021-04-10_11-25-49
2021-04-10_11-25-491288×1088 51.2 KB

F12 für die Konsole:

2021-04-10_11-26-52
2021-04-10_11-26-522118×1215 170 KB

Dies trat nach dem Update auf die neueste Version von Discourse auf.

1 „Gefällt mir“
2

Können Sie uns den vollständigen gesendeten CSP-Header zeigen?

1 „Gefällt mir“
3

@supermathie

Vielen Dank für Ihre schnelle Antwort.

Ich habe versucht, den Header aus Firefox zu laden. Ich bin mir nicht sicher, ob ich etwas richtig gemacht habe.

Bitte sehen Sie den angehängten Screenshot.

2021-04-10_13-15-48
2021-04-10_13-15-482560×1400 255 KB

Ich bin zu Chrome gewechselt.

Hier können Sie möglicherweise mehr Details zur Anfrage einsehen.

2021-04-10_13-32-02
2021-04-10_13-32-022560×1227 330 KB

4

Es müssen sich seit dem ursprünglichen Beitrag Dinge geändert haben, da er sich nun wie erwartet verhält:

○ → curl -I https://www.ossez.com
HTTP/2 200 
…
content-security-policy: base-uri 'none'; object-src 'none'; script-src https://www.ossez.com/logs/ https://www.ossez.com/sidekiq/ https://www.ossez.com/mini-profiler-resources/ https://www.ossez.com/assets/ https://www.ossez.com/brotli_asset/ https://www.ossez.com/extra-locales/ https://www.ossez.com/highlight-js/ https://www.ossez.com/javascripts/ https://www.ossez.com/plugins/ https://www.ossez.com/theme-javascripts/ https://www.ossez.com/svg-sprite/ https://www.googletagmanager.com/gtm.js 'nonce-38d2a45e5e933b869e14465772b2c0de' https: https://tagmanager.google.com https://www.googletagmanager.com 'unsafe-inline' https://analytics.ossez.com/matomo.js https://www.ossez.com/cdn-cgi/apps/head/qk5vBDFy7qBIoPy3q8a6LUoKei8.js https://www.googletagmanager.com/gtm.js; worker-src 'self' https://www.ossez.com/assets/ https://www.ossez.com/brotli_asset/ https://www.ossez.com/javascripts/ https://www.ossez.com/plugins/

‘unsafe-inline’ ist nun korrekt in Anführungszeichen gesetzt, wird aber von Chrome ignoriert:

Die Ausführung von Inline-Skripten wurde abgelehnt, da sie gegen die folgende Content-Security-Policy-Richtlinie verstößt: […] Beachten Sie, dass ‘unsafe-inline’ ignoriert wird, wenn entweder ein Hash- oder ein Nonce-Wert in der Quellliste vorhanden ist.

und von Firefox:

Content Security Policy: „‘unsafe-inline’“ innerhalb von script-src oder style-src wird ignoriert: nonce-source oder hash-source angegeben

da Sie einen Nonce-Wert in der CSP-Liste angegeben haben: 'nonce-38d2a45e5e933b869e14465772b2c0de'

Ich sehe, dass Sie hinter Cloudflare stehen; beachten Sie bitte, dass Sie verschiedene Cloudflare-Funktionen deaktivieren müssen, da diese standardmäßig Discourse beeinträchtigen.

4 „Gefällt mir“
5

Vielen Dank.

1 „Gefällt mir“