TYPO3 13.4.5 und CSP

Thomas

Hallo,
ich habe eine TYPO3 12-Installation mit t3sbootstrap in ddev auf TYPO3 13 aktualisiert. Nun habe ich das Problem, dass das Javascript von content blocks nicht ausgeführt wird, Anderes Javascript, z.B. für mmenu wird ausgeführt. Meldung in der Konsole:
Content-Security-Policy: Die Einstellungen der Seite haben die Ausführung eines Inline-Skripts (script-src-elem) blockiert, da es gegen folgende Direktive verstößt: "script-src 'none'"

Ich habe ohne Erfolg im TS eingefügt:

config {
    additionalHeaders {
        10 {
            header = content-security-policy: script-src 'self' 'unsafe-inline'; script-src-elem 'self' 'unsafe-inline';
            replace = 1
    }
}

Chris Müller

Seit der Version 12 kann TYPO3 "nativ" Content Security Policy sprechen:
https://docs.typo3.org/m/typo3/reference-coreapi/13.4/en-us/ApiOverview/ContentSecurityPolicy/Index.html
Daher gibt es keinen Grund, CSP per TypoScript einzubinden. Du solltest auf diese Variante wechseln, da sie deutlich flexibler und die Konfiguration übersichtlicher ist.
Hast du vielleicht CSP in TYPO3 aktiviert (Admin Tools)? Oder über den Webserver (Apache, nginx)?

Edit: Und was mir noch aufgefallen ist, es fehlt eine zugehende Klammer in deinem Snippet. Falls das auch in deinem Code so ist, wird eventuell deine Konfiguration verworfen.
Edit 2: Du solltest auch unsafe-inline für script-src vermeiden, ansonsten könntest du trotzdem XSS-Probleme bekommen. Nutze Nonces für Inline-Skripte stattdessen (siehe Doku-Link).

Thomas

Danke für Deine Antwort!

Ich hatte das CSP testweise zur Vermeidung der Fehlermeldungen hinzugefügt aber inzwischen wieder entfernt, weil ich ansonsten die anfangs erwähnte Fehlermeldung weiter erhalte.
Dies ist die allg. Konfiguration:
[SYS][features][security.frontend.enforceContentSecurityPolicy] = false

Die fehlende Klammer war ein Kopierfehler.
Ich frage mich, woher diese Fehlermeldung kommt. In der Firefox-Konsole steht:

Content-Security-Policy: Die Einstellungen der Seite haben die Ausführung eines Inline-Skripts (script-src-elem) blockiert, da es gegen folgende Direktive verstößt: "script-src 'none'" preload.js:139:16
Content-Security-Policy: Die Einstellungen der Seite haben die Ausführung eines Inline-Skripts (script-src-elem) blockiert, da es gegen folgende Direktive verstößt: "script-src 'none'" utils.js:33:10

Mit TYPO3 12 hatte ich das Problem übrigens nicht.

Edit 1: Ich habe jetzt die .htaccess mit der Version TYPO3 14.4.5 aktualisiert. Außerdem habe ich die Datei csp.yaml mit dem Eintrag active: false. Leider bleibten die Fehlermeldungen.

Chris Müller

Welcher CSP-Header wird denn in deiner Seite selbst gezeigt? Browser-Konsole -> Netzwerk-Tab -> Seite neu laden -> Header der Seite anzeigen.

Wenn du CSP in TYPO3 deaktiviert hast, sollte das nicht davon kommen. Ein Indiz, dass die CSP von TYPO3 genommen wird (zumindest falls nicht verändert), ist dass z.B. youtube und vimeo dort aufgeführt sind.

Chris Müller

Du kannst auch mal in das Configurations-Modul reinschauen, dort gibt es Content Security Policies als Auswahl. Dort sollte nichts aufgeführt sein (wenn TYPO3 nicht dafür zuständig ist).

Thomas

Ich habe den Fehler gefunden.
Sorry, wie so oft saß das Problem vor dem Bildschirm. 🙄Ich hatte einen Schreibfehler im Frontend-Template des CB: hrefstatt src.

<f:asset.script identifier="content-block-js-tm/cbImagegalleryJS" src="{cb:assetPath()}/index.bundle.min.js"/>

@Chris Müller Ich danke Dir sehr für Deine Unterstützung! Ich habe 'ungewollt' eines über CSP und Debugging gelernt.

Unterstütze das Forum

Hilf mit, den Community Hub für TYPO3 werbefrei zu halten und die Betriebskosten zu decken. Werde Official Community Hub Supporter für nur 5 Euro im Monat (zzgl. USt) und erhalte ein exklusives Supporter-Badge. Jeder Beitrag zählt!

Jetzt Supporter werden

Impressum - Datenschutz - Kontakt - Netiquette - RSS