WBB und Content Security Policy *grml*

  • Hallo liebe Community,

    leider brachte mich die Suche mit der Suchmaschine meines geringsten Misstrauens und hier im Forum nur auf kaum verwertbare PHP Codeschnipsel von SoftCreatR.

    Folgendes Szenario:
    Ich biete diverse Dienste als Alternative für proprietäre Anbieter für Jedermann/frau.
    Diese Dienste loggen nicht und werden von mir weit über das geforderte Soll abgesichert.
    Die Privatsphäre, der Datenschutz und die Sicherheit meiner User hat für mich oberste Prämisse.

    Nun ist mir leider aufgefallen, dass (nicht nur) mein Forum absolut unbenutzbar wird, sobald ich Content Security Policy von
    Content-Security-Policy "default-src https: data: 'unsafe-inline' 'unsafe-eval'"
    zu
    Content-Security-Policy "default-src 'self'" ändere.

    Hat hier jemand sein Forum mit sicheren CSP Einstellungen ausgestattet oder funktioniert das beim WBB nicht,
    da zu viel Zeug von externen Quellen nachgeladen wird?

    Auswirkungen auf die Seite:
    - Login Bereich wurde über einen Teil der Seite ohne Style "aufgeklappt" und war unbenutzbar
    - Erweiterte Antwort und Vorschau war nicht mehr möglich
    - keine Smilies et cetera mehr :( ^^

    Über sachdienliche Hinweise oder einen konstruktiven Diskurs würde ich mich freuen.

    LG - medprofiler

    Fachinformatiker / Systemintegrator | Linux Admin

    Die Sprache der Menschen ist einzigartig aber nicht eindeutig.
    Das Verständnis des Gesagten hängt vom Wohlwollen des Gegenüber ab.

  • Hallo,

    sowohl unsafe-inline, als auch unsafe-eval wird technisch zwangsweise benötigt. Wenn du ein Beispiel für eine minimale CSP für's WBB haben möchtest, dann kannst du folgende ansehen und entfernen was du nicht benötigst (Gravatare, GitHub Gists, Websockets). Google wird für das Recaptcha benötigt.

    Code
    Content-Security-Policy-Report-Only: default-src 'self' tims.bastelstu.be; img-src 'self' tims.bastelstu.be data: https://www.google.com https://secure.gravatar.com; font-src 'self' tims.bastelstu.be data:; object-src 'none'; script-src 'self' tims.bastelstu.be ajax.googleapis.com www.google.com www.gstatic.com https://gist.github.com 'unsafe-inline' 'unsafe-eval'; style-src 'self' tims.bastelstu.be https://assets-cdn.github.com 'unsafe-inline'; connect-src 'self' tims.bastelstu.be wss://tims.bastelstu.be; frame-src 'self' tims.bastelstu.be www.google.com; report-uri https://csp.xqk7.com/

Participate now!

Don’t have an account yet? Register yourself now and be a part of our community!