Hallo,
ich habe in einem Template (ein typisches J51-Template) ein inline-style und über ein Plugin die CSP (Content Security Policy) aktiviert. Die Nutzung von unsafe-inline möchte ich vermeiden (nur für ältere Browser nötig). Das mit der Generierung von Hashes bzw. Nonces funktioniert in J3 irgendwie nicht. Ich habe es zumindest aufgegeben.
Das Inline-Style soll nun testweise mal mittel "nonce" manuell erweitert werden und dann in der CSP-Richtlinie im Plugin angegeben werden, so dass es bzgl. der CSS-Anweisungen keine Probleme gibt.
Statt <style>......</style> dann halt beispielsweise
<style nonce="12345">.....</style>
Problem: Ich finde die Stelle nicht, wo ich das nonce im <style> ergänzen kann?
1. index.php beinhaltet include ("inc/head.php");
2. head.php beinhaltet require_once('style.php');
3. style.php beinhaltet dann die eigentlichen css-Anweisungen;
$document->addStyleDeclaration('
:root {
--primary: '.$this->params->get('primary_color').';
--mobile-menu-bg: '.$this->params->get('mobile_menu_bg').';
--mobile-menu-toggle: '.$this->params->get('mobile_menu_color').';
}
...... ');
Doch wo könnte ich dieses <style>-Tag finden, wo ich nonce manuell eintragen kann ?