CSP ändern

Irene · 6. Oktober 2022

Hallo,

ich betreue eine schon etwas ältere Joomla 3.9 Seite für Veranstaltungen. Ein Kunde möchte ein Formular einbinden und hat mich gebeten, dass ich die "Content Security Policy" ändere, damit diese Domain freigegeben wird.

Ich habe mich bereits versucht einzulesen, bin mir aber nicht sicher, was ich da genau machen muss. Soll ich ein Plugin installieren, oder selbst im Source code diesen header einfügen?

Kann mir da jemand helfen?

danke

Irene

WM-Loose · 6. Oktober 2022

Ich würde das Thema für Joomla3 gar nicht mehr angehen.

Hier sind aber noch ein paar Infos dazu:

Thema

HTACCESS Einstellung Content-Security-Policy

Welche Einstellung nutzt Ihr, damit das ganze System sicherer wird.

Wenn ich dies in den Header mache, zerschießt es mit das Style.
Header set Content-Security-Policy "default-src 'none'; frame-src 'self'; font-src 'self';img-src 'self' siwecos.de; object-src 'self'; script-src 'self'; style-src 'self';"

Wenn ich dies eingebe, geht es, aber ist dann wohl nicht ganz so sicher:
Header set Content-Security-Policy "default-src https: data: 'unsafe-inline' 'unsafe-eval' 'self' meine-Domain.de"

Da erhalte…

FW-Michl

18. Oktober 2018

Wurden denn für diese Webseite überhaupt Klimmzüge und Änderungen zum Thema "Content Security Policy" gemacht oder hat der Kunde nur was aufgeschnappt und in den Raum gestellt . Da du diese Webseite betreust, musst du doch wissen ob es Änderungen in der Policy gab oder hast du die Betreuung von einem anderen webmaster geerbt?

UND:

ein paar mehr Infos (siehe Forenregeln) wären bestimmt hilfreich (z.B. Link zur Webseite oder was für ein Formular mit welcher Komponente usw. soll eingebunden werden).

Irene · 6. Oktober 2022

Hallo Dirk,

ich gebe dir da recht. Ich kann diese Seite im Moment nicht auf Joomla 4.0 updaten und auch sonst keine Systemänderungen vornehmen. Es gab nie Änderungen in der Policy und ich möchte eigentlich auch nichts machen.

Es handelt sich um eine zahnmedizinische Veranstaltung die über diese Homepage angekündigt wird (http://www.zmk-graz.at). Ich bin da zwar Admin, mein eigentlicher Auftrag ist aber nur ein Folder.

Mein Auftraggeber (eine Dental-Agentur) hat da anscheinend jemanden, der ein Formular für eine Onlineanmeldung erstellt hat. Ich soll jetzt die CSP ändern, damit man das Formular einbinden kann.

Ich weiß nicht genau was er unter "einbinden" versteht, ich würde das ohnehin nur über einen Link oder einen Menüpunkt aufrufen.

lg Irene

WM-Loose · 6. Oktober 2022

Meist wird sowas als Iframe und als eigenes Modul eingebunden.

Du erstellst ein eigenes Modul, schaltest von Editor auf Code um und kopierts den IFrame-Code dort hinein.

Danach dann das Modul auf einer passenden Modulposition platzieren oder alternativ in einem Beitrag platzieren (mit Loadposition z.B.).

Eine Änderung vom CSP habe ich dafür noch nie machen müssen (bisher aber ich bin lernfähig ).

Handelt es sich um ein IFrame?

Kannst du dazu mehr Angaben machen?

Irene · 6. Oktober 2022

Ich habe folgenden Link bekommen: http://zmk-graz.at.julius.koerbler.com/

Eigentlich ein übliches Anmeldeformular das ich normalerweise als Link aufrufe. Ich bin mir nicht sicher, ob das mit dem iframe hier sinnvoll ist. Den nehme ich normalerweise für Videos und Chatfenster.

WM-Loose · 6. Oktober 2022

Verstehe. Ist ein Iframe-Wrapper.

Versuch mal folgendes:

Menueintrag erstellen und Iframe-Wrapper wählen, dann den Link eintragen.

Alternativ in einem Beitrag den Iframe HTML Code direkt einfügen.

Hier kannst du den IFrame erstellen:

iFrame-Generator | Iframe-Code zum Einbetten in jede Website erstellen

Irene · 6. Oktober 2022

danke, mache ich.

Ich habe die erste Variante probiert, funktioniert sehr gut. Danke vielmals. Ich muss jetzt nur mehr diesen Herrn Körbler davon überzeugen.

Elwood · 6. Oktober 2022

Zitat von Irene

ich gebe dir da recht. Ich kann diese Seite im Moment nicht auf Joomla 4.0 updaten

Dann würde ich aber auf jeden Fall auf 3.10.11 updaten.

Hast ja mit J4 noch bis 08/23 Zeit.

zero24 · 7. Oktober 2022

Im ersten Schritt sollte geklärt werden wo der header gesetzt wurde. Ich vermute in der .htaccess

Code

Content-Security-Policy: default-src 'self' 'unsafe-inline' frame-src http://zmk-graz.at.julius.koerbler.com/

Das wäre ein erster Ansatz, wird aber wahrscheinlich auch noch weiteres nötig sein.

Vorschlag:

Neuen Beitrag mit dem iframe anlegen
Beitrag im Frontend mit dem Google Chrome öffnen
Browser Konsole öffnen
CSP Meldungen prüfen und entsprechend im CSP hinterlegen

PS hab gesehen es sind beide Header gesetzt: Content-Security-Policy und X-Content-Security-Policy wenn dies weiterhin so sein soll dann bitte auch beide Header anpassen.

PS2: Beide Seiten sollten zeitnah auf https umgestellt werden sonst gibt's keine Übertragungssicherheit zwischen dem Browser und dem Server.