- Mitglied seit
- 10 Mai 2006
- Beiträge
- 15,180
- Punkte für Reaktionen
- 1,714
- Punkte
- 113
Kann es sein, daß seit neuestem mit den Seiten auch ein CSP-Header ausgeliefert wird?
Bei mir hat dieser (unter Windows 7 getestet, mit IE11 und FF 56) folgenden Inhalt:
An sich eine sehr gute Idee (eine Site kann per se unsichere Konstrukte auf diesem Weg verbieten, wenn sie sie nicht benötigt) ... aber angesichts der Form, wie Xenforo seine Overlays erzeugt (mittels "eval()"-Funktion in "globalEval" über Bande, aufgerufen aus "xenforo.js"), braucht es wohl doch noch ein 'unsafe-eval' in der Policy, wenn man Beiträge anschließend auch editieren können soll. Ansonsten wird der Aufruf von "eval()" am Ende über die CSP blockiert.
Bei mir hat dieser (unter Windows 7 getestet, mit IE11 und FF 56) folgenden Inhalt:
Code:
Content-Security-Policy: script-src 'self' 'unsafe-inline' www.google-analytics.com;block-all-mixed-content;