CSP Problem mit Matomo

Steffen

Hallo in die Runde,
ich komme irgendwie nicht weiter beim fixen der CSP Regeln für die EInbindung von Matomo. Kann mir hier jemand mal nen Tipp geben?

Ich nutze hier TYPO3 v12.4.x mit PHP8.3 und Apache. Das ist aktuell meine csp.yaml:

inheritDefault: true
mutations:
  # Results in `default-src 'self' https://piwik.domain.de`
  - mode: "set"
    directive: "default-src"
    sources:
      - "'self'"
      - "https://piwik.domain.de"
  
  # Results in `img-src 'self' data: https://*.typo3.org https://piwik.domain.de`
  - mode: "extend"
    directive: "img-src"
    sources:
      - "'self'"
      - "data:"
      - "https://*.typo3.org"
      - "https://piwik.domain.de"
  
  # Results in `style-src-elem 'self' 'nonce-proxy'`
  - mode: "extend"
    directive: "style-src-elem"
    sources:
      - "'self'"
      - "'nonce-proxy'"
  
  # Results in `script-src 'self' 'nonce-proxy' https://piwik.domain.de`
  - mode: "extend"
    directive: "script-src"
    sources:
      - "'self'"
        - "https://piwik.domain.de"
  
  # Results in `script-src-elem 'self' 'nonce-proxy' https://piwik.domain.de`
  - mode: "extend"
    directive: "script-src-elem"
    sources:
      - "'self'"
      - "https://piwik.domain.de"
  
  # Results in `frame-src 'self' https://piwik.domain.de`
  - mode: "extend"
    directive: "frame-src"
    sources:
      - "'self'"
      - "https://piwik.domain.de"
  
  # Results in `worker-src blob:`
  - mode: "set"
    directive: "worker-src"
    sources:
      - "blob:"```

Als externe Ressourcen binde ich YouTube und Matomo aktuell ein. Matomo binde ich per Fluid ein:
```<!-- Matomo -->
<f:asset.script identifier="matomo-script" useNonce="1" priority="true">
	var _paq = window._paq = window._paq || [];
	/* tracker methods like "setCustomDimension" should be called before "trackPageView" */
	_paq.push(['trackPageView']);
	_paq.push(['enableLinkTracking']);
	(function() {
	var u="https://piwik.domain.de/";
	_paq.push(['setTrackerUrl', u+'matomo.php']);
	_paq.push(['setSiteId', '1232535']);
	var d=document, g=d.createElement('script'), s=d.getElementsByTagName('script')[0];
	g.async=true; g.src=u+'matomo.js'; s.parentNode.insertBefore(g,s);
	})();
</f:asset.script>
<!-- End Matomo Code -->

Dazu bekomme ich folgende Fehlermeldungen beim Aufruf im Frontend:

Content-Security-Policy: (Report-Only-Regel) Die Einstellungen der Seite haben die Ausführung eines Inline-Skripts (script-src-elem) blockiert, da er gegen folgende Direktive verstößt: "script-src 'self' 'nonce-MHKKh0mKhXbKcuDi6LG8RyEDoI7oQ9FcMYcHGQwr9l4hIgL1Krlyag' https://piwik.domain.de 'report-sample'" inject.js:221:47
POST
https://beta.projekt.de/@http-reporting?csp=report&requestTime=1747575372758374&requestHash=ec8562962f4e2cf2834a002402c459e4d462bcb6
[HTTP/2 401  19ms]

POST
https://beta.projekt.de/@http-reporting?csp=report&requestTime=1747575372758374&requestHash=ec8562962f4e2cf2834a002402c459e4d462bcb6

Hmm, ich wäre über etwas Hilfe oder Denkanstoß sehr happy. Kann mir jemand sagen, was falsch ist…?
Besten Dank und viele Grüße
Steffen

Chris Müller

Die fehlerhafte Einrückung bei "script-src" ist vermutlich durch Copy/Paste entstanden?

Ansonsten: Kannst du mal die reale generierte CSP aus dem Response vom Browser hier reinschreiben? Das Matomo-Skript hat im HTML-Code vermutlich auch den korrekten Nonce-Wert?

Was steht in "inject.js", Zeile 221?

Du scheinst auch 401er zu bekommen, wenn der Browser die Verletzung an den CSP-Endpoint von TYPO3 schicken möchte?

Chris Müller

Noch eine Anmerkung: Du definierst script-src und script-src-elem, das ist teilweise redundant. script-src-elem ist CSP Level 3 (was die modernen Browser soweit alle verstehen) und bezieht sich nur auf <script>-Tags. Wenn script-src-elem nicht vorhanden ist, fällt der Browser zurück auf script-src. Das Gegenstück dazu ist script-src-attr (das bezieht sich nur auf Event-Handler als Attribut, wie z.B. onclick, etc.) - was man aber eigentlich eh nicht verwenden sollte, wenn man CSP ernst nimmt.

Chris Müller

Und ich habe mal in ein Projekt geschaut, wie ich Matomo definiert habe:

  - mode: extend
    directive: "connect-src"
    sources:
      - "matomo.example.com"

  - mode: extend
    directive: "img-src"
    sources:
      - "matomo.example.com"

  - mode: extend
    directive: "script-src"
    sources:
      - "matomo.example.com"

Zusätzlich natürlich noch den nonce-proxy für script-src.

Steffen

Hallo Cris,
vielen Dank für deine Antwort.

Zu deinen Anmeerkungen:
Die fehlerhafte Einrückung bei "script-src" ist vermutlich durch Copy/Paste entstanden?
Ja, das ist ein Copy/Past Fehler

Ansonsten: Kannst du mal die reale generierte CSP aus dem Response vom Browser hier reinschreiben? Das Matomo-Skript hat im HTML-Code vermutlich auch den korrekten Nonce-Wert?
Ich habe es aus dem TypoScript rausgenommen und in Fluid so eingebunden. Das funktioniert meiner Meinung nach besser, aber ist es auch die bessere Idee…?

<f:asset.script identifier="matomo-script" useNonce="1" priority="true">
	var _paq = window._paq = window._paq || [];
	/* tracker methods like "setCustomDimension" should be called before "trackPageView" */
	_paq.push(['trackPageView']);
	_paq.push(['enableLinkTracking']);
	(function() {
	var u="https://piwik.domain.de/";
	_paq.push(['setTrackerUrl', u+'matomo.php']);
	_paq.push(['setSiteId', '89698']);
	var d=document, g=d.createElement('script'), s=d.getElementsByTagName('script')[0];
	g.async=true; g.src=u+'matomo.js'; s.parentNode.insertBefore(g,s);
	})();
</f:asset.script>

Was steht in "inject.js", Zeile 221?
Das ist eine Firefox Extension die dazwischen grätscht. :/

Ich habe meine CSP sehr stark gekürzt und weitestegehend deine übernommen. Aktuell sieht diese so aus:

inheritDefault: true
mutations:
  - mode: "set"
    directive: "default-src"
    sources:
      - "'self'"
      - "https://piwik.domain.de"
      
  - mode: extend
    directive: "connect-src"
    sources:
      - "https://piwik.domain.de"
  
  - mode: extend
    directive: "img-src"
    sources:
      - "https://piwik.domain.de"
  
  - mode: extend
    directive: "script-src"
    sources:
      - "https://piwik.domain.de"

MIt diesen Änderungen habe ich keine CSP Fehlermeldungen mehr. :)

Was ich noch nicht verstanden habe, ist wie ich eine Report-Url oder Report-File einbinde. Hast du dafür noch ein Beispiel?

Vielen lieben Dank für deine Hilfe.
Steffen

Chris Müller

Standardmäßig wird die Report-URL von TYPO3 selbst genutzt. Du kannst sie auf zwei Wegen überschreiben:
Global über
[TYPO3_CONF_VARS][FE][contentSecurityPolicyReportingUrl] = 'https://report.example.com/'
bzw.
[TYPO3_CONF_VARS][BE][contentSecurityPolicyReportingUrl] = 'https://report.example.com/'
oder site-spezifisch über reportingUrl in der csp.yaml, z.B.

enforce:
  reportingUrl: "https://report.example.com"

bzw.

report:
  reportingUrl: "https://report.example.com"

Prinzipiell müsste in der csp.yaml auch
reportingUrl: "https://report.example.com"
funktionieren (direkt auf der Hauptebene).

Noch ein Wort zu default-src: Wenn du deine Matomo-URL in default-src setzt, wird diese auf alle anderen *-src vererbt, außer diese werden explizit definiert. So erlaubst du sie möglicherweise z.B. auch bei object-src, was nicht wirklich sinnvoll ist, ich empfehle daher, die Matomo-URL aus default-src zu entfernen - und wenn du merkst, du benötigst sie noch in einer anderen Direktive, sie dort direkt zu setzen.

Hier noch zwei Links zu kürzlichen Erweiterungen:

Steffen

Danke dir für deine Antowrten. Ich habe jetzt keine CSP Fehler mehr. yeah :)
Was ich aber noch nicht verstanden habe, ist wohin werden die Reports gesendet bzw. abglegt? Ist das eine Datei oder ein Ordner der auf meinem Webspace liegt, den ich dann ab und zu hole …? 🤔
Erst mal besten Dank, Steffen

Chris Müller

Standardmäßig (also wenn du nichts selbst konfigurierst) werden Verletzungen an TYPO3 selbst gesendet. Dafür stellt TYPO3 einen Endpoint zur Verfügung. Um Einsicht zu erhalten, gibt es das Content Security Policy-Backend-Modul (das aber eher spartanisch ist).
Es gibt Dienste, die auch einen CSP-Endpoint anbieten, z.B. Sentry oder reporturi.com. Ich nutze ein sebstgehostetes GlitchTip (einen Sentry-Fork), um u.a. CSP-Verletzungen zu erhalten. Man kann aber auch selbst was basteln, im Endeffekt schickt der Browser ein JSON an die definierte URL, die man dann speichern, auswerten, ignorieren, eskalieren oder sonstwas mit machen kann.
Zum Start reicht aber sicherlich erst einmal das TYPO3-Modul aus.

Und: Du wirst mit der Zeit einige CSP-Verletzungen erhalten, die nicht mit deiner Seite zu tun haben, diese werden u.a. durch Browser-Plugins, Firewalls, Antivirensoftware usw. ausgelöst, die irgend etwas auf die Seite injizieren wollen (was CSP dann aber abblockt).

Steffen

Ah, besten Dank. Ich glaub ich check mal GlitchTip auf dem Raspi.

Unterstütze das Forum

Hilf mit, den Community Hub für TYPO3 werbefrei zu halten und die Betriebskosten zu decken. Werde Official Community Hub Supporter für nur 5 Euro im Monat (zzgl. USt) und erhalte ein exklusives Supporter-Badge. Jeder Beitrag zählt!

Jetzt Supporter werden

Impressum - Datenschutz - Kontakt - Netiquette - RSS