CSP Header

gopitzohlsen · 14. Mai 2022

Gibt es eine Möglichkeit bei dem http-header Plugin CSP so zu konfigurieren, dass folgender Quellcode in meiner HTML Seite nicht durch CSP blockiert wird?

Code

<a href="#" onclick="Joomla.tableOrdering('a.title','asc','', document.getElementById('adminForm'));return false;" class="hasPopover" title="Titel" data-bs-content="Klicken, um nach dieser Spalte zu sortieren" data-bs-placement="top">Titel</a></th>

Folgende Meldung erscheint bei mir im Browser:

Refused to execute inline event handler because it violates the following Content Security Policy directive: "script-src 'sha256-hmMEB4F3qKwyT8K+qgB1+j+6OoiUOau5sIUZXCKy00I=' 'sha256-9uyDyXmtJBebsdn2MVXC/u/kOqV26Bj4InOMEH3NduI=' 'sha256-riby8x3MzLeY13IXpDUXA8uRDFlKZDw2coXeg5RioNw=' 'sha256-kkk7UFPifaxTsPMWjNthrrI8chzhf/A6JwZQIx2OWZQ=' 'sha256-Db02/d+QXbmQoiQWl1CWO1n/P5jzxK/cCCG2E+3Du/E=' 'sha256-uTzJbXT2OZ+i3brZpQRtX2ljvF20kooh0+xj8UqVmkg=' 'sha256-kpTl046LhNAq9+OLhMuMFLvmcshIDJh0gckdiNx4mTg=' 'sha256-wHgXkjx9JbmdiTCnfAVg8RuIHIFGjYD+9PCmQUEi/QI=' 'sha256-0hqKmZ4MbwnBZru2vULlbQNjT/nTkuA03ZyzU2Ma3uo=' 'sha256-/2mjxHM5fooVdHxefck4LDhZ5wX23qiZZ+iEXEEYUsE=' 'sha256-iSiXTnKxB14GOEuFVWDM9h4iFmiWBY8HZMK5ntHz+bs=' 'sha256-JpEJvERr7rpBCFaFf4miiP4dkFqrxGd5H0AgkCb5ZQg=' 'sha256-Zk/Yu9AbwnGwUQH7ojsjjJRuuSpnEzOFL70VJq2Pnbs=' 'sha256-UZzUZxjcSjpOj8hQzu/k2m4CVfafH5PLSwEmGC/8huI=' 'sha256-C0yqH6ZxP/7Bz3OnkH1Hh+QQq2v/mMnI4HBQ8kv/8Do=' 'sha256-wiBZL5Mf8qnRAj4L/TDAAI4ILhhVmPfjg1rTB9mb6EY=' 'sha256-s5hcciyMX0W9lpHiZO/6ridFt6g10oqPKrtQ46daJs0=' 'sha256-2vuER6Lq6jFCOOUH+wOYB/miOC1d12UeUj6eUItHeDo=' 'sha256-9bVGpM8Osg/eKTKibjtv7Mh9IbkD/ul8hf9BX8RydHI=' 'sha256-8KNovAql8ptxdCCSjKqHVJO1jLg3lJ9P+w4H211PJB0=' 'sha256-IZ55lKr0UJxotWYdztmHiAYh3cSoU9XsK6KKIRgUPyk=' 'sha256-cMHdua5T1nBK2UWIbCEQsoz/eG73vbCp+YXBdjlokVI=' 'sha256-E1V8nFo6D7tomecnJtjLKwx4FHn/YNKFSZrFst0Zw54=' 'sha256-IZ55lKr0UJxotWYdztmHiAYh3cSoU9XsK6KKIRgUPyk=' 'sha256-cMHdua5T1nBK2UWIbCEQsoz/eG73vbCp+YXBdjlokVI=' 'sha256-qwQ9tfNIe2D55Me+TzkXJCffauS1L+E4CJ4s4r5/AAY=' 'sha256-8YOYIdSiFF9svc65gS9B72qsI8nOp8Y/tMonc+gKdQw=' 'sha256-iF6Nkq0YYga6Gefe2TzSEQ0NEdV3OGbD3BksnxT71mQ=' 'sha256-aRXC8Xk+yedBLMtvedNUQRZny1J6hGnifNuENpA5N2I=' 'sha256-aRXC8Xk+yedBLMtvedNUQRZny1J6hGnifNuENpA5N2I=' 'self' https://connect.facebook.net/de_DE/ https://platform.linkedin.com/ https://platform.twitter.com/ https://www.google-analytics.com https://www.googletagmanager.com/ https://www.google.com/recaptcha/ https://www.gstatic.com/recaptcha/ https://freetools.seobility.ne…check/friededenhuetten.de https://www.googletagmanager.com/gtag/". Either the 'unsafe-inline' keyword, a hash ('sha256-...'), or a nonce ('nonce-...') is required to enable inline execution. Note that hashes do not apply to event handlers, style attributes and javascript: navigations unless the 'unsafe-hashes' keyword is present.

Re:Later · 14. Mai 2022

Da bin ich als Depp schon Stunden im Kreis gelaufen. Die einzige Lösung, die ich bisher gefunden habe, ist Nonces auszuschalten und natürlich 'strict-dynamic', und eine Regel

script-src: 'unsafe-inline' etc.

hinzuzufügen.

Oder die onclick-Codes eben nicht an dieser Stelle inline zu verwenden, was aber Joomla so in Kategorielisten einsetzt und ich eigentlich als einen """Joomla-Bug""" ansehe, wenn man dann andere Sicherheits-Einstellungen nicht verwenden kann.

Varainten wären, das in eine Javascript-Datei auszulagern, die dann unter Kategorie 'self' fällt; oder eben in HEAD mit einer joomla-konformen Methode, die dazu die Nonces einsetzt bzw. vom Plugin eingesetzt bekommt.

Aber, da ich wie gesagt, eher ein Depp bin, traue ich mich noch mal zero24 anzupingen, wie er das sieht. Falls er Zeit und Lust hat. Ob da vielleicht Joomla ein grundlegendes Manko hat.

gopitzohlsen · 14. Mai 2022

Danke, das wäre vielleicht sehr hilfreich. zero24 kann besser beurteilen, ob man da etwas in die ToDo Liste für ein neues Joomla aufnimmt. Bis später dann.

gopitzohlsen · 15. Mai 2022

Ich habe einmal die Beschreibung der CSP Direktiven nachgelesen. Dort findet man:

Zitat

The HTTP Content-Security-Policy (CSP) script-src-attr directive specifies valid sources for JavaScript inline event handlers. This includes only inline script event handlers like onclick, but not URLs loaded directly into <script> elements.

CSP version 3
Directive type Fetch directive
default-src fallback Yes. If this directive is absent, the user agent will look for the script-src directive, and if both of them are absent, fallback to default-src directive.

Also genau das richtige. Allerdings habe ich bei der Konfiguration im http-header festgestellt, dass ich denselben Fehler bekomme, wenn ich 'unsafe-hashes', 'unsafe-inline', 'unsafe-eval' oder 'self' benutze. Das Plugin http-header schreibt immer die hashes aus der script-src Direktive auch in die script-src-attr Direktive. Ist das so richtig oder der Grund für den Fehler?

zero24 · 15. Mai 2022

Zitat von gopitzohlsen

Gibt es eine Möglichkeit bei dem http-header Plugin CSP so zu konfigurieren, dass folgender Quellcode in meiner HTML Seite nicht durch CSP blockiert wird?

Jein. So wie Re:Later schon geschrieben hat nur durch: script-src 'unsafe-inline' oder via dedizierten hash. Das sind alles aber nur Behelfslösungen für die "richtige" Lösung komplett auf inline JS und CSS zu verzichten und diese Funktionalität in JS/CSS Dateien auszulagern.

Zitat von gopitzohlsen

Das Plugin http-header schreibt immer die hashes aus der script-src Direktive auch in die script-src-attr Direktive. Ist das so richtig oder der Grund für den Fehler?

Jein zeig mir einmal bitte deine CSP Konfiguration "automatisch" sollte das Plugin das nicht machen. Das Problem an script-src-attr ist das es nur in chromium Browsern verfügbar ist: https://caniuse.com/mdn-http_h…ty-policy_script-src-attr

Zitat von Re:Later

Da bin ich als Depp schon Stunden im Kreis gelaufen. Die einzige Lösung, die ich bisher gefunden habe, ist Nonces auszuschalten und natürlich 'strict-dynamic', und eine Regel

script-src: 'unsafe-inline' etc.

hinzuzufügen.

Die Kombination sollte aber auch nicht funktionieren. Denn wenn nonces aktiviert sind wird unsafe-inline ignoriert und greift dann nur bei Browsern welche keine nonces unterstützen?

Zitat von gopitzohlsen

Danke, das wäre vielleicht sehr hilfreich. zero24 kann besser beurteilen, ob man da etwas in die ToDo Liste für ein neues Joomla aufnimmt. Bis später dann.

Ich denke es geht hier um das Backend? Der Fokus bei 4.0 wurde auf das Frontend gelegt und ja es gibt noch einige inline scripte im Joomla 4 backend aber die meisten sollten schon auf "nutzen die Joomla API" umgestellt worden sein und werden damit von hashes und nonces abgefangen aber ich möchte nicht ausschließen das es auch noch welche gibt die an der Joomla API vorbei gehen besonders auch 3rd party extensions können hier schnell querschießen

gopitzohlsen · 15. Mai 2022

Zitat von zero24

Jein zeig mir einmal bitte deine CSP Konfiguration "automatisch" sollte das Plugin das nicht machen. Das Problem an script-src-attr ist das es nur in chromium Browsern verfügbar ist: https://caniuse.com/mdn-http_h…ty-policy_script-src-attr

Konfiguration:

Code

object-src 'none';
default-src 'none';
prefetch-src 'self';
frame-src 'sha256-cMHdua5T1nBK2UWIbCEQsoz/eG73vbCp+YXBdjlokVI=' 'self' https://www.google.com/recaptcha/ https://recaptcha.google.com/recaptcha/ https://platform.twitter.com https://syndication.twitter.com https://web.facebook.com https://www.facebook.com https://www.google.com;
base-uri 'self';
connect-src 'self' https://freetools.seobility.net/de/seocheck/friededenhuetten.de https://www.google-analytics.com www.google-analytics.com https://stats.g.doubleclick.net;
font-src 'self' https://fonts.gstatic.com https://freetools.seobility.net/de/seocheck/friededenhuetten.de;
img-src 'self' data: https://www.googletagmanager.com/ https://www.google.de/ads/ https://www.google.com/ads/ https://www.webwiki.de/etc/rating/widget/319033017/ https://freetools.seobility.net/widget/ https://siwecos.de https://web.facebook.com https://www.google-analytics.com www.google-analytics.com https://stats.g.doubleclick.net;
manifest-src 'self';
media-src 'self';
form-action 'self';
worker-src 'none';
script-src 'sha256-d/C6egRqD1vZyqYwJ+I4wE9qy+WQFN1+QenQm+Txxow=' 'sha256-oVF57aRwJ+3iu7ErqPuwYvYTaGH5LFcy0tWwClXvWvo=' 'sha256-zni72vetuahae9TaqEi/rrlC5U/+1CaYyS6FmVMuHnk=' 'sha256-IZ55lKr0UJxotWYdztmHiAYh3cSoU9XsK6KKIRgUPyk=' 'sha256-M+EDhLdzZ9aAK7PH6dgMP7CfM/BbFEDuKNHRpH0T7ic=' 'sha256-u8QUOPM2TlgQNYubfguZseXee2TKlo7K8GWJPmREYBs=' 'sha256-W2zgtQTqKFr+mqXTsV2THUlUGKlDY/0HlKoBPVKdOIM=' 'sha256-cMHdua5T1nBK2UWIbCEQsoz/eG73vbCp+YXBdjlokVI=' 'sha256-E1V8nFo6D7tomecnJtjLKwx4FHn/YNKFSZrFst0Zw54=' 'sha256-qwQ9tfNIe2D55Me+TzkXJCffauS1L+E4CJ4s4r5/AAY=' 'sha256-8YOYIdSiFF9svc65gS9B72qsI8nOp8Y/tMonc+gKdQw=' 'sha256-iF6Nkq0YYga6Gefe2TzSEQ0NEdV3OGbD3BksnxT71mQ=' 'sha256-aRXC8Xk+yedBLMtvedNUQRZny1J6hGnifNuENpA5N2I=' 'self' https://connect.facebook.net/de_DE/ https://platform.linkedin.com/ https://platform.twitter.com/ https://www.google-analytics.com https://www.googletagmanager.com/ https://www.google.com/recaptcha/ https://www.gstatic.com/recaptcha/ https://freetools.seobility.net/de/seocheck/friededenhuetten.de https://www.googletagmanager.com/gtag/;
style-src 'self' 'unsafe-inline';
frame-ancestors 'self';

Alles anzeigen

Vielleicht hilft dir das weiter.

Hier noch die Konfiguration mit script-src-attr:

Code

object-src 'none';
default-src 'none';
prefetch-src 'self';
frame-src 'sha256-cMHdua5T1nBK2UWIbCEQsoz/eG73vbCp+YXBdjlokVI=' 'self' https://www.google.com/recaptcha/ https://recaptcha.google.com/recaptcha/ https://platform.twitter.com https://syndication.twitter.com https://web.facebook.com https://www.facebook.com https://www.google.com;
base-uri 'self';
connect-src 'self' https://freetools.seobility.net/de/seocheck/friededenhuetten.de https://www.google-analytics.com www.google-analytics.com https://stats.g.doubleclick.net;
font-src 'self' https://fonts.gstatic.com https://freetools.seobility.net/de/seocheck/friededenhuetten.de;
img-src 'self' data: https://www.googletagmanager.com/ https://www.google.de/ads/ https://www.google.com/ads/ https://www.webwiki.de/etc/rating/widget/319033017/ https://freetools.seobility.net/widget/ https://siwecos.de https://web.facebook.com https://www.google-analytics.com www.google-analytics.com https://stats.g.doubleclick.net;
manifest-src 'self';
media-src 'self';
form-action 'self';
worker-src 'none';

script-src-attr 'sha256-/a7k+0c5UzyRaH2TdUBCuTuTAT1lD5IWBKImBkmZdF4=' 'sha256-G9MrWSvvIefg02z4Cq5wrVy7HI6Q6H/eSyj08G9zIhY=' 'sha256-Wza7bTzCD/6rCgCGVXt99mK8eE46iUEgimPQTKWqfvk=' 'sha256-IZ55lKr0UJxotWYdztmHiAYh3cSoU9XsK6KKIRgUPyk=' 'sha256-cMHdua5T1nBK2UWIbCEQsoz/eG73vbCp+YXBdjlokVI=' 'sha256-E1V8nFo6D7tomecnJtjLKwx4FHn/YNKFSZrFst0Zw54=' 'unsafe-hashes';

script-src 'sha256-/a7k+0c5UzyRaH2TdUBCuTuTAT1lD5IWBKImBkmZdF4=' 'sha256-G9MrWSvvIefg02z4Cq5wrVy7HI6Q6H/eSyj08G9zIhY=' 'sha256-Wza7bTzCD/6rCgCGVXt99mK8eE46iUEgimPQTKWqfvk=' 'sha256-IZ55lKr0UJxotWYdztmHiAYh3cSoU9XsK6KKIRgUPyk=' 'sha256-cMHdua5T1nBK2UWIbCEQsoz/eG73vbCp+YXBdjlokVI=' 'sha256-E1V8nFo6D7tomecnJtjLKwx4FHn/YNKFSZrFst0Zw54=' 'sha256-qwQ9tfNIe2D55Me+TzkXJCffauS1L+E4CJ4s4r5/AAY=' 'sha256-8YOYIdSiFF9svc65gS9B72qsI8nOp8Y/tMonc+gKdQw=' 'sha256-iF6Nkq0YYga6Gefe2TzSEQ0NEdV3OGbD3BksnxT71mQ=' 'sha256-aRXC8Xk+yedBLMtvedNUQRZny1J6hGnifNuENpA5N2I=' 'self' https://connect.facebook.net/de_DE/ https://platform.linkedin.com/ https://platform.twitter.com/ https://www.google-analytics.com https://www.googletagmanager.com/ https://www.google.com/recaptcha/ https://www.gstatic.com/recaptcha/ https://freetools.seobility.net/de/seocheck/friededenhuetten.de https://www.googletagmanager.com/gtag/;
style-src 'self' 'unsafe-inline';
frame-ancestors 'self';

Alles anzeigen

Das liefert folgende Fehlermeldung:

Zitat

Refused to execute inline event handler because it violates the following Content Security Policy directive: "script-src-attr 'sha256-zFOPhgwnYGQYWbklvrt4LFRZEPSZf5uiQlxI/wRqG/w=' 'sha256-Nvln2/9s2bt91lnc/BTaguQLP9rmnxZpUSIhwbVDjmw=' 'sha256-BzMzodSbv5/ym+eJeCgxRf7kDN/WU9JWBhAonzSuRcU=' 'sha256-IZ55lKr0UJxotWYdztmHiAYh3cSoU9XsK6KKIRgUPyk=' 'sha256-cMHdua5T1nBK2UWIbCEQsoz/eG73vbCp+YXBdjlokVI=' 'sha256-E1V8nFo6D7tomecnJtjLKwx4FHn/YNKFSZrFst0Zw54=' 'unsafe-hashes'". Either the 'unsafe-inline' keyword, a hash ('sha256-...'), or a nonce ('nonce-...') is required to enable inline execution.

_handleMouseUp @ unbekannt

Re:Later · 15. Mai 2022

Zitat von zero24

Die Kombination sollte aber auch nicht funktionieren. Denn wenn nonces aktiviert sind wird unsafe-inline ignoriert und greift dann nur bei Browsern welche keine nonces unterstützen?

Hast du falsch gelesen. Ich schrieb

Zitat

Die ... Lösung ... ist Nonces auszuschalten und natürlich 'strict-dynamic'

Also beide auszuschalten.

Zitat von zero24

Ich denke es geht hier um das Backend?

zero24

Ich nutze das Plugin natürlich nur im Frontend.

Im Frontend Joomla 4 gibt es das core-seitige Inline-onclick-Javascript für das Sortieren von Tabellenspalten in Beitrags-Kategorielisten. Wie im ersten Post zu sehen. Das wurde wohl vergessen umzubauen(?)

Das verhindert das Nutzen von Nonces.

Ich habe das eingereicht, weil ich mir zwischenzeitlich fast sicher bin, dass das ein """Bugilein""" ist:

[4] Http Headers plugin. Nonces on Category List · Issue #37799 · joomla/joomla-cms

Steps to reproduce the issue Configure plugin "Http Headers" > "Content-Security-Policy (CSP)" Nonce: Yes Add a "Policy…

github.com

gopitzohlsen · 15. Mai 2022

Habe das jetzt händisch eingetragen:

Code

Unter script-src-attr:
'unsafe-hashes' 'sha256-cbPytqlIqUc4AN1rFKg0VYyfT5hs9GBjknGeviK+fJ4=' 'sha256-cyFuHpNI8jCCL7LS0XTcV9vO3BNVya9M4YfpmGPf8yc=' 'sha256-AZkVvGbyhe5MxQNotx6cpde+HJT40fh9cfpIEXK0PMo='

Wobei ich die Hashes von https://report-uri.com/home/hash nach folgender Tabelle berechnet habe:

Zitat

// inline event handlers auf friededenhuetten.de

Joomla.tableOrdering('a.title','asc','', document.getElementById('adminForm'));return false; 'sha256-cbPytqlIqUc4AN1rFKg0VYyfT5hs9GBjknGeviK+fJ4='

Joomla.tableOrdering('author','asc','');return false; 'sha256-cyFuHpNI8jCCL7LS0XTcV9vO3BNVya9M4YfpmGPf8yc='

Joomla.tableOrdering('a.hits','asc','');return false; 'sha256-AZkVvGbyhe5MxQNotx6cpde+HJT40fh9cfpIEXK0PMo='

Dies funktioniert jetzt. Allerdings meckert chrome immer noch, weil die CSP Direktive script-src verletzt ist. Muss die hashes dort wohl auch eintragen. Schön ist die Lösung natürlich nicht.

gopitzohlsen · 16. Mai 2022

Nachdem ich die hashes in der script-src Direktive eingetragen habe, habe ich dasselbe Problem. Also muss es meiner Meinung nach folgendermaßen funktionieren: Ich kopiere alle Einträge in script-src nach script-src-attr und lösche script-src. Da in script-src-attr alle von http-header generierten hashes stehen, habe ich dann in script-src-attr alle hashes stehen, die vorher in script-src waren plus die selbst generierten hashes für die event handler. Das müsste dann hoffentlich ohne Fehler funktionieren. Melde mich diesbezüglich später noch einmal.

gopitzohlsen · 16. Mai 2022

Ich komme in der Geschichte nicht richtig weiter. Zwar ist die Funktionalität der inline handler mit folgender Konfiguration der CSP header gegeben

Code

object-src 'none';
default-src 'self';
prefetch-src 'self';
frame-src 'sha256-cMHdua5T1nBK2UWIbCEQsoz/eG73vbCp+YXBdjlokVI=' 'self' https://www.google.com/recaptcha/ https://recaptcha.google.com/recaptcha/ https://platform.twitter.com https://syndication.twitter.com https://web.facebook.com https://www.facebook.com https://www.google.com;
base-uri 'self';
connect-src 'self' https://freetools.seobility.net/de/seocheck/friededenhuetten.de https://www.google-analytics.com www.google-analytics.com https://stats.g.doubleclick.net;
font-src 'self' https://fonts.gstatic.com https://freetools.seobility.net/de/seocheck/friededenhuetten.de;
img-src 'self' data: https://www.googletagmanager.com/ https://www.google.de/ads/ https://www.google.com/ads/ https://www.webwiki.de/etc/rating/widget/319033017/ https://freetools.seobility.net/widget/ https://siwecos.de https://web.facebook.com https://www.google-analytics.com www.google-analytics.com https://stats.g.doubleclick.net;
manifest-src 'self';
media-src 'self';
form-action 'self' https://friededenhuetten.de;
worker-src 'self';
style-src 'self' 'unsafe-inline' data: https://fonts.googleapis.com;
script-src-attr 'sha256-1qFkYi3M03oG4dGQFsK4kzt6JFKp/pZilo2M9m3qNB8=' 'sha256-Qc/wMp7yiAx+Kno6EiFFbRO8S6qvVFg6/VVUCSaxBsU=' 'sha256-LSPDUB1DV8ioTJD2ndRKtQB2p2hhRaKmObjjmb7rs7E=' 'sha256-hqYHHhI/sq1OEMPOSG7DUxmgL7zuTHWL9dk00FmWNkc=' 'sha256-T6485vwckztWqqsw81pwxIc4klK96cpzV9U7lNygt3E=' 'sha256-itdLCVXvaCnxceQquM6gGTCULYRRjLaIcTtAvKkzXyU=' 'sha256-y56EYA9ZFo0YuuP3TTFFkZPPxpOkOvYTMLsW9xfDUBk=' 'sha256-ojT/HdHpv1rTm8MIGEdV0D0RgPxb6JwsLsqz975nQKk=' 'sha256-tbSGRqq7CiEXFNwasvXe/QHoxG0HAd3Qw8N+nZPJj2A=' 'sha256-GkzUkWKKkHITtAdUnpJ+0w2u3HXeOTPs2soD7cG6DOE=' 'sha256-XtdLFI8qdQvDmN1kgcrwWQLjuD8bX7B2ikL8IIsvLXE=' 'sha256-XTHVURJwIC1+c/zVR8d/W+FHWJ7sJ9FQXctnG2m7V7A=' 'sha256-VKXcfpTLzMQN+Y84inD+8d7BgHPujrGsc+uFG9MTpSM=' 'sha256-x6g0pHE06064dH6Ng2A7FSygNcg2leaDnu5QaPmrey8=' 'sha256-oBfDx4Lwsq2TbUHt6coCk3eRZLyMboDfqMwg6Ep5Hws=' 'sha256-rofrhklyDyQ4KB7b+4SXti8GWBSM0jlWVhjq3AbVWu0=' 'sha256-yfxYnl2WQE0LEiyL/H0qlEkACOB0Y3icWGMYhSf+mOo=' 'sha256-SylJIX9ecuOFGxYD9LdMhkwXU+xm91gIrukjE+2S7w0=' 'sha256-g1HKLwAcFTOdAk123wWU+UM33AGYfb2NR+hYq212mQk=' 'sha256-JxHt46x3RyXshv9EmsDpRtnyYHULnePUi01/X1rBLgs=' 'sha256-It+YFdFv/njpfIeHWa8LCEeEoYVlSyh72wWS10pgvu0=' 'sha256-A5gstMVZK4GePvr5ODHMCQ6buYKdDNtLio9PZXgfHV4=' 'sha256-ljVfrfhEq25B3rXdySGCnSaEUk+Zjaccn2W/QIOltmo=' 'sha256-W0kUfQdCSbFe3LGWbld9Z0MO00zMC7VMAks+QzNq8w8=' 'sha256-I5jTqNy7x4N4WPW6LYy8Tce9dW03w/wpR+cc+8N/oqk=' 'sha256-/OmmJd9iI6YFQgJH4iMU+jHWhTXxAGaYu+OHe5yFhz8=' 'sha256-w6oGrdHkur/TcsZffQ7J85yDzG6WXbQTUwQlL1tqG1s=' 'sha256-/6ifNDvdmh9hzCVTs6iDYXFcwl3JL9akPiqqX0nzmjQ=' 'sha256-IZ55lKr0UJxotWYdztmHiAYh3cSoU9XsK6KKIRgUPyk=' 'sha256-JHiPsw2A8Fq9mBK4cLnHX0odl8Ix2IV/8EYUTV/WypA=' 'sha256-gZc+zE6GJyO3PhZGoyqyYR7v1zJdXkuqqjOBe9hP0uk=' 'sha256-g34zmZ0HarPuVyofDneySNZ/IqNlY8WO+cDxrzLnEWg=' 'sha256-Pz1X63rqqoab62hU5LmPlOkuPVSC8Kg2v1gy6xz6MF8=' 'sha256-WLpvOetk53r8eT1ysgpJjvdXxkPsP/sihfp8bv+gKTc=' 'sha256-TaTYqdZrinkhYMRXYhEEV6V7oEu+H6hAbokJd66N65s=' 'sha256-e5i63YnM+PLv4mpd47YIpsbHPAXJomKOCqadyH1Fp44=' 'sha256-92t8c2z2CdI3on9xUx5jIckzy5kfefmlJJr0qVe0FEk=' 'sha256-KWRdbpyg42F7gNs9OFjp8nrEQgEjNYnVodyuIc1EU28=' 'sha256-4+hLaYWdngZPbm3mCJDxKByo/QVNjuqlukUTUH8p/hM=' 'sha256-cMHdua5T1nBK2UWIbCEQsoz/eG73vbCp+YXBdjlokVI=' 'sha256-E1V8nFo6D7tomecnJtjLKwx4FHn/YNKFSZrFst0Zw54=' 'unsafe-inline' 'unsafe-hashes' 'sha256-cbPytqlIqUc4AN1rFKg0VYyfT5hs9GBjknGeviK+fJ4=' 'sha256-cyFuHpNI8jCCL7LS0XTcV9vO3BNVya9M4YfpmGPf8yc=' 'sha256-AZkVvGbyhe5MxQNotx6cpde+HJT40fh9cfpIEXK0PMo=' 'sha256-qwQ9tfNIe2D55Me+TzkXJCffauS1L+E4CJ4s4r5/AAY=' 'sha256-8YOYIdSiFF9svc65gS9B72qsI8nOp8Y/tMonc+gKdQw=' 'sha256-iF6Nkq0YYga6Gefe2TzSEQ0NEdV3OGbD3BksnxT71mQ=' 'sha256-aRXC8Xk+yedBLMtvedNUQRZny1J6hGnifNuENpA5N2I=';
script-src 'sha256-1qFkYi3M03oG4dGQFsK4kzt6JFKp/pZilo2M9m3qNB8=' 'sha256-Qc/wMp7yiAx+Kno6EiFFbRO8S6qvVFg6/VVUCSaxBsU=' 'sha256-LSPDUB1DV8ioTJD2ndRKtQB2p2hhRaKmObjjmb7rs7E=' 'sha256-hqYHHhI/sq1OEMPOSG7DUxmgL7zuTHWL9dk00FmWNkc=' 'sha256-T6485vwckztWqqsw81pwxIc4klK96cpzV9U7lNygt3E=' 'sha256-itdLCVXvaCnxceQquM6gGTCULYRRjLaIcTtAvKkzXyU=' 'sha256-y56EYA9ZFo0YuuP3TTFFkZPPxpOkOvYTMLsW9xfDUBk=' 'sha256-ojT/HdHpv1rTm8MIGEdV0D0RgPxb6JwsLsqz975nQKk=' 'sha256-tbSGRqq7CiEXFNwasvXe/QHoxG0HAd3Qw8N+nZPJj2A=' 'sha256-GkzUkWKKkHITtAdUnpJ+0w2u3HXeOTPs2soD7cG6DOE=' 'sha256-XtdLFI8qdQvDmN1kgcrwWQLjuD8bX7B2ikL8IIsvLXE=' 'sha256-XTHVURJwIC1+c/zVR8d/W+FHWJ7sJ9FQXctnG2m7V7A=' 'sha256-VKXcfpTLzMQN+Y84inD+8d7BgHPujrGsc+uFG9MTpSM=' 'sha256-x6g0pHE06064dH6Ng2A7FSygNcg2leaDnu5QaPmrey8=' 'sha256-oBfDx4Lwsq2TbUHt6coCk3eRZLyMboDfqMwg6Ep5Hws=' 'sha256-rofrhklyDyQ4KB7b+4SXti8GWBSM0jlWVhjq3AbVWu0=' 'sha256-yfxYnl2WQE0LEiyL/H0qlEkACOB0Y3icWGMYhSf+mOo=' 'sha256-SylJIX9ecuOFGxYD9LdMhkwXU+xm91gIrukjE+2S7w0=' 'sha256-g1HKLwAcFTOdAk123wWU+UM33AGYfb2NR+hYq212mQk=' 'sha256-JxHt46x3RyXshv9EmsDpRtnyYHULnePUi01/X1rBLgs=' 'sha256-It+YFdFv/njpfIeHWa8LCEeEoYVlSyh72wWS10pgvu0=' 'sha256-A5gstMVZK4GePvr5ODHMCQ6buYKdDNtLio9PZXgfHV4=' 'sha256-ljVfrfhEq25B3rXdySGCnSaEUk+Zjaccn2W/QIOltmo=' 'sha256-W0kUfQdCSbFe3LGWbld9Z0MO00zMC7VMAks+QzNq8w8=' 'sha256-I5jTqNy7x4N4WPW6LYy8Tce9dW03w/wpR+cc+8N/oqk=' 'sha256-/OmmJd9iI6YFQgJH4iMU+jHWhTXxAGaYu+OHe5yFhz8=' 'sha256-w6oGrdHkur/TcsZffQ7J85yDzG6WXbQTUwQlL1tqG1s=' 'sha256-/6ifNDvdmh9hzCVTs6iDYXFcwl3JL9akPiqqX0nzmjQ=' 'sha256-IZ55lKr0UJxotWYdztmHiAYh3cSoU9XsK6KKIRgUPyk=' 'sha256-JHiPsw2A8Fq9mBK4cLnHX0odl8Ix2IV/8EYUTV/WypA=' 'sha256-gZc+zE6GJyO3PhZGoyqyYR7v1zJdXkuqqjOBe9hP0uk=' 'sha256-g34zmZ0HarPuVyofDneySNZ/IqNlY8WO+cDxrzLnEWg=' 'sha256-Pz1X63rqqoab62hU5LmPlOkuPVSC8Kg2v1gy6xz6MF8=' 'sha256-WLpvOetk53r8eT1ysgpJjvdXxkPsP/sihfp8bv+gKTc=' 'sha256-TaTYqdZrinkhYMRXYhEEV6V7oEu+H6hAbokJd66N65s=' 'sha256-e5i63YnM+PLv4mpd47YIpsbHPAXJomKOCqadyH1Fp44=' 'sha256-92t8c2z2CdI3on9xUx5jIckzy5kfefmlJJr0qVe0FEk=' 'sha256-KWRdbpyg42F7gNs9OFjp8nrEQgEjNYnVodyuIc1EU28=' 'sha256-4+hLaYWdngZPbm3mCJDxKByo/QVNjuqlukUTUH8p/hM=' 'sha256-cMHdua5T1nBK2UWIbCEQsoz/eG73vbCp+YXBdjlokVI=' 'sha256-E1V8nFo6D7tomecnJtjLKwx4FHn/YNKFSZrFst0Zw54=' 'unsafe-inline' 'sha256-cbPytqlIqUc4AN1rFKg0VYyfT5hs9GBjknGeviK+fJ4=' 'sha256-cyFuHpNI8jCCL7LS0XTcV9vO3BNVya9M4YfpmGPf8yc=' 'sha256-AZkVvGbyhe5MxQNotx6cpde+HJT40fh9cfpIEXK0PMo=' 'sha256-qwQ9tfNIe2D55Me+TzkXJCffauS1L+E4CJ4s4r5/AAY=' 'sha256-8YOYIdSiFF9svc65gS9B72qsI8nOp8Y/tMonc+gKdQw=' 'sha256-iF6Nkq0YYga6Gefe2TzSEQ0NEdV3OGbD3BksnxT71mQ=' 'sha256-aRXC8Xk+yedBLMtvedNUQRZny1J6hGnifNuENpA5N2I=' 'self' https://connect.facebook.net/de_DE/ https://platform.linkedin.com/ https://platform.twitter.com/ https://www.google-analytics.com https://www.googletagmanager.com/ https://www.google.com/recaptcha/ https://www.gstatic.com/recaptcha/ https://freetools.seobility.net/de/seocheck/friededenhuetten.de https://www.googletagmanager.com/gtag/;
frame-ancestors 'self';

Alles anzeigen

Aber Chrome spuckt immer noch Fehlermeldungen aus:

Zitat

Refused to execute inline script because it violates the following Content Security Policy directive: "script-src 'sha256-MnX+yvYe0JOq2pXGY3M5Gx7IIlDBZwpnnfu5NVzyGQA=' 'sha256-qwmtnyUYx6J0+6tc6wWQibdDocIbV4BxclgwNjgxspw=' 'sha256-PrmxEMA/23y/IjSp1CIQ8ElyQu9XXaQ8aYp6OdxbMms=' 'sha256-76aZGvIAUMMQotSxuAx8/amJFhf8JWpNYksoLknKC5E=' 'sha256-7WusujWU77FfmaEGN6KlLds61EIW4GdNLbbZxIjA0uQ=' 'sha256-hQABD38zThm73ayo/U4zlAbCgrjUnowAcyqw2DbWAVc=' 'sha256-TvjYMh6gWeYWBX4UY+/RpeqAZQrr6ir8ipRESBG+3zo=' 'sha256-vAy5Lsza4fTRoM8KsVCh/uGNkRXCO34Kh5KfAEREvi0=' 'sha256-Ox2+Kiwsb5IZLIZANx2UPn2ZuPM3QctR4LJSjAh6AcE=' 'sha256-6qELHuVZoBNJTG1BahQfKx8sFUk5J3ghHthhbsOK+/E=' 'sha256-B5qPCd3PL06xVPR5MNwY+ZWfzZ6W+Kg/M/aF7l+8UMg=' 'sha256-sfjT4wKh2CtvDhEfByC3RWGhIH2VdCz7VmUJeZpgLlk=' 'sha256-XDaHc2aPRRXbeA3KJiF9pxmK7Ec5mjs7S2Nmh5m7hOE=' 'sha256-T/TD6SQKuo8yjZyNtoQl3dwfunCnY2WOCrH6seq8i0A=' 'sha256-oYDrfyhRqUGm82YSyLkxnmH0WRjcu7ix7jUY9YSyt5c=' 'sha256-Zrv8GpJmB5XKAxuG8JPQx3sJs2HAflf8Pr9n0IXjXrE=' 'sha256-b3aPmQRc26sJsQo0QII3uhucW43OMrkLmHc1MrJ2aIk=' 'sha256-s693QbuN5bg6DTy3HAAPq+6NUDYIx5uuX0WH5UEItYU=' 'sha256-RT3zSRCPDYct4By38GKmVA9D4XEsMcjvmSONI0BAI7g=' 'sha256-xbZ8xjZhPKPIgK+28AqnYuh0eh39cjPfBGeY+DQVmCE=' 'sha256-IZ55lKr0UJxotWYdztmHiAYh3cSoU9XsK6KKIRgUPyk=' 'sha256-yqBO1UTlfZQRpJicA5eh+/XF8HWpxd4Yb/GcOC8/NjQ=' 'sha256-4+hLaYWdngZPbm3mCJDxKByo/QVNjuqlukUTUH8p/hM=' 'sha256-cMHdua5T1nBK2UWIbCEQsoz/eG73vbCp+YXBdjlokVI=' 'sha256-E1V8nFo6D7tomecnJtjLKwx4FHn/YNKFSZrFst0Zw54=' 'unsafe-inline' 'sha256-cbPytqlIqUc4AN1rFKg0VYyfT5hs9GBjknGeviK+fJ4=' 'sha256-cyFuHpNI8jCCL7LS0XTcV9vO3BNVya9M4YfpmGPf8yc=' 'sha256-AZkVvGbyhe5MxQNotx6cpde+HJT40fh9cfpIEXK0PMo=' 'sha256-IZ55lKr0UJxotWYdztmHiAYh3cSoU9XsK6KKIRgUPyk=' 'sha256-cMHdua5T1nBK2UWIbCEQsoz/eG73vbCp+YXBdjlokVI=' 'sha256-qwQ9tfNIe2D55Me+TzkXJCffauS1L+E4CJ4s4r5/AAY=' 'sha256-8YOYIdSiFF9svc65gS9B72qsI8nOp8Y/tMonc+gKdQw=' 'sha256-iF6Nkq0YYga6Gefe2TzSEQ0NEdV3OGbD3BksnxT71mQ=' 'sha256-aRXC8Xk+yedBLMtvedNUQRZny1J6hGnifNuENpA5N2I=' 'self' https://connect.facebook.net/de_DE/ https://platform.linkedin.com/ https://platform.twitter.com/ https://www.google-analytics.com https://www.googletagmanager.com/ https://www.google.com/recaptcha/ https://www.gstatic.com/recaptcha/ https://freetools.seobility.ne…check/friededenhuetten.de https://www.googletagmanager.com/gtag/". Note that 'unsafe-inline' is ignored if either a hash or nonce value is present in the source list.

Ziemlich undurchsichtig , das Ganze. Aber es scheint zu funktionieren.

CSP version	3
Directive type	Fetch directive
`default-src` fallback	Yes. If this directive is absent, the user agent will look for the `script-src` directive, and if both of them are absent, fallback to `default-src` directive.

Tags