.titleBar { margin-bottom: 5px!important; }

[Frage] Content Security Policy

Dieses Thema im Forum "Über dieses Forum" wurde erstellt von PeterPawn, 25 Okt. 2017.

  1. PeterPawn

    PeterPawn IPPF-Urgestein

    Registriert seit:
    10 Mai 2006
    Beiträge:
    11,334
    Zustimmungen:
    569
    Punkte für Erfolge:
    113
    Beruf:
    IT-Freelancer
    Ort:
    Berlin
    Kann es sein, daß seit neuestem mit den Seiten auch ein CSP-Header ausgeliefert wird?

    Bei mir hat dieser (unter Windows 7 getestet, mit IE11 und FF 56) folgenden Inhalt:
    Code:
    Content-Security-Policy: script-src 'self' 'unsafe-inline' www.google-analytics.com;block-all-mixed-content;
    
    An sich eine sehr gute Idee (eine Site kann per se unsichere Konstrukte auf diesem Weg verbieten, wenn sie sie nicht benötigt) ... aber angesichts der Form, wie Xenforo seine Overlays erzeugt (mittels "eval()"-Funktion in "globalEval" über Bande, aufgerufen aus "xenforo.js"), braucht es wohl doch noch ein 'unsafe-eval' in der Policy, wenn man Beiträge anschließend auch editieren können soll. Ansonsten wird der Aufruf von "eval()" am Ende über die CSP blockiert.
     
    GT2RS gefällt das.
  2. GT2RS

    GT2RS Administrator

    Registriert seit:
    11 Juli 2017
    Beiträge:
    14
    Zustimmungen:
    0
    Punkte für Erfolge:
    1
    Wir arbeiten gerade daran