Apache Content Security Policy

Locked
Hg1978
Posts: 13
Joined: Tue 7. Jan 2020, 15:01

Apache Content Security Policy

Post by Hg1978 »

Hallo,

kann ich die CSP Einträge Header set Content-Security-Policy "default-src 'self';" in Keyhelp eintragen, wenn ja wo oder muss ich das in der httpd.conf machen? Was ist mit dem Rest wie X Frame Options und so... :roll:

Danke....
User avatar
Enigma
Posts: 258
Joined: Thu 2. Aug 2018, 19:18

Re: Apache Content Security Policy

Post by Enigma »

Header kannst Du am besten entweder in KeyHelp bei den (Sub-)Domaineinstellungen im Reiter "Apache-Einstellungen" setzen oder in einer .htaccess-Datei.

Gruß
Jan
This message has been ROT-13 encrypted twice for higher security.
Hg1978
Posts: 13
Joined: Tue 7. Jan 2020, 15:01

Re: Apache Content Security Policy

Post by Hg1978 »

Hallo, vielen Dank für den Tipp. Ich habe die CSP in Keyhelp eingetragen. Nur leider werden mir mit folgender CSP:

Code: Select all

Header set Content-Security-Policy "default-src 'self'; connect-src 'self'; font-src 'self'; img-src 'self'; media-src 'self'; object-src 'self'; script-src 'self'; style-src 'self'; frame-src 'self'"
keine "Bilder" mehr geladen. Ich denke es sind die Bilder oder event. CSS Scripte oder so!? Die Domain Default Page von Keyhelp ist ja so dunkelblau hinterlegt. Mit der CSP bleibt sie aber weiss. Auch auf einer anderen Seite werden keine Buttons mehr angezeigt.

Könnte mir jemand noch einen Tip geben!? Danke :)
User avatar
Enigma
Posts: 258
Joined: Thu 2. Aug 2018, 19:18

Re: Apache Content Security Policy

Post by Enigma »

Es gibt die Möglichkeit, einen Report zu erhalten, der Dir sagt, mit welchen URLs es Probleme gibt, siehe https://developer.mozilla.org/en-US/doc ... our_policy (und die folgenden Abschnitte). Du musst halt ein kleines Skript schreiben - vermutlich ist sowas in den Tiefen des Webs auch bereits fertig zu bekommen -, das den Report annimmt und speichert.

Gruß
Jan
This message has been ROT-13 encrypted twice for higher security.
Locked