- Joomla Version
- 5.1.0
- PHP Version
- PHP 8.3.x
- Hoster
- ...
Hallo!
Es geht um eine spezielle Einstellung im Plugin "HTTP-Headers" - "Nonce".
Wenn ich es richtig verstehe, kann man es aktivieren wenn man Inline-Styles oder Inline-Skripte auf der Seite hat (bspw. weil man die nicht auslagern kann). Nun habe ich testweise eine blanke 5.1.0-Installation durchgeführt, um überhaupt erst einmal zu schauen, wie sich Joomla in der Grundausführung verhält. Wenn also nichts weiter installiert habe (also keine Plugins etc.) und die CSP-Anweisungen für style-src und script-src auf 'self' stelle, dann bekomme ich in der Konsole eine Warnung, dass diverse Skripte wegen der 'self'-Anweisung nicht ausgeführt werden konnten. Soweit so gut. Nun aktiviere ich die "Nonce"-Option und sehe (zumindest in Firefox) im Quellcode, dass hinter alle Style- und Skript-URIs ein nonce=xxxx Attribut mit einer Art Hash gesetzt wurde. Dennoch können die Skripte bzw. Styles inline noch immer nicht ausgeführt werden. Muss ich da noch etwas machen?