visforms und CSP (Content-Security-Policy)

Zitat von herby64

Kann mir einen Tip geben, warum visforms blockiert wird, denn das script läuft ja auf dem eigenen Server

Ja, aber deine Einstellungen verbieten jegliche Form von "ungenonceten" Inline-Skripten und da gibt es eine Menge (siehe Bild).

Ich kenne Visforms nicht. Eigentlich sollte das das richtig machen, also das Skript "noncen", (wenn Nonces aktiviert sind im Plugin). Mit Joomla eigentlich kein Problem. Vielleicht hat visforms eine Einstellung der Art "Im HEAD einbinden" oder so ähnlich?

Umschiffen kann man das Problem mit einem weiteren Attribut 'unsafe-inline', aber das ist unwirksam, wenn Nonces aktiviert sind. Blöde Geschichte.

Zitat von herby64

Ich habe nonces im http header plugin aktiviert

Dann wird dir wohl für den Moment nichts anderes übrig bleiben als Nonces zu deaktivieren und eben 'unsafe-inline' noch zu setzen.

Als Erweiterungsprogrammierer, der seinerzeit seine eigenen Erweiterungen und Kundenseiten umfeilen musste, kann ich nicht mehr dazu sagen.

Wenn Visforms den von mir gezeigten Block nicht anderweitig in die Seite einsetzt, und Nonces aktiviert sind, funktioniert es halt nicht. Bzw., wenn du sagst, es gibt keine einstellung in Visforms.

Testen kannst ja, indem du das HTTP-Plugin mal deaktivierst.

Die Visforms Entwickler nutzen nicht die von Joomla vorgesehenen Methoden um JS und CSS an die Seitenausgabe anzuhängen (Stichwort "Web Asset Manager") sondern gehen ihren eigenen Weg. Dadurch kann Joomla keine passenden Nounces generieren und eine strikte CSP verhindert die korrekte Ausführung. Die richtige Lösung ist, dass Visforms ihre Ausgabe anpasst, die Alternative ist das Erlauben von unsafe-inline.

Na gut, wollte ich vermeiden, weil ich Visforms nicht so mag

Eine Krücke mit aktivierten Nonces, die ich desöfteren für "mal-eben-schnell"-Fixes sonstwo verwende. Am Template-Beispiel Cassiopeia.

- Lege einen Override, also eine Kopie des JLayouts /com_visforms/layouts/visforms/scripts/validation.php an, also Datei

/templates/cassiopeia/html/layouts/com_visforms/visforms/scripts/validation.php

- Füge in diese Datei ein bzw. ergänze dann den <script>-Tag:

$nonce = '';

// Set by Http-Header-plugin?
if ($nonce = \Joomla\CMS\Factory::getApplication()->get('csp_nonce', ''))
{
  $nonce = ' nonce="' . $nonce . '"';
}


?>
    <script type="text/javascript"<?php echo $nonce; ?>>

Siehe Bild, wo ungefähr:

Bei mir funktioniert das Formular dann und im Browser-Inspektor wird diesbzgl. nicht mehr gemeckert.

Da du aber sowieso diverse Nonce-Fehler hast, was Inline-Scripte und Inline-Stile anbelangt, die VIELLECIHT wurst sind, ist zu überlegen, ob....

EDIT: Das ist durchaus legitim das so zu machen, aber Visforms könnte das ab Joomla 4 eleganter machen. Da bin ich jetzt aber zu faul. Ginge auch in einem Override, wie oben erwähnt, mit dem WAM "easy".

Kenne Visforms nicht. Wegen dem roten Balken, was es da ev. für Einstellungen gäbe.

Täte das quick and dirty:

.alert.alert-danger.error-note {
display: none;  
}

Allerdings weiß ich nicht, ob dieser doch nötig wäre, um einen eventuellen Fehler anzuzeigen (?)

Liebe Grüße

Christine

Zitat von Re:Later

Da du aber sowieso diverse Nonce-Fehler hast, was Inline-Scripte und Inline-Stile anbelangt

deshalb bekommt z.B. dieser rote und leere alert-Balken nicht das nötige CSS bzw. es ist dem Browser verboten, es auszuführen. eigentlich steht da nämlich (wenn Nonces deaktiviert sind und 'unsafe-inline' gesetzt ist):

<div class="alert alert-danger error-note" style="display: none;"></div>

Er ist also normalerweise versteckt, bis das Formular was anzuzeigen hat. Umgehen könnte das Visforms, wenn sie statt mit inline-styles mit CSS-Klassen arbeiten würden.

Für mich ist Visforms die Alternative.

Kann auch die Probleme nicht nachvollziehen.

Läuft bei mir auf vielen Seiten mit unterschiedlichen Einstellungen ohne Probleme.

Schau mir nochmal die geschilderten Einstellungen an.

Ich kann dir auf jeden Fall ConvertForms von Tassos empfehlen.

Probier die Free Version mal aus und wenn du mehr Features benötigst dann kannst du immer noch auf Pro-Version upgraden:

Convert Forms - Joomla Form Builder Extension

www.tassos.gr

Ist für mich aktuell die beste Formularkomponente.