CSP Problem beim Bootstrap Package

Steffen

Hallo in die Runde,
ich nutze für ein Projekt das Bootstrape Package bk2k/bootstrap-package mit TYPO3 v12.4.32, PHP8.3 da funktioniert soweit auch alles fein. 😊 Ausgelöst wird die Fehlermldung durch das CE Text & Icon im Bootstrap Package. Ich lade da übers Backend ein SVG rein. Angezeigt wird es im Frontend, allerdings bekomme ich im Frontend eine CSP Fehlermeldung die ich nicht wegbekomme. 😤 Das ist die Fehlermeldung:
Content-Security-Policy: Die Einstellungen der Seite haben die Anwendung eines Inline-Styles (style-src-elem) blockiert, da er gegen folgende Direktive verstößt: "style-src-elem 'self' 'nonce-kukLFOn0sngVAy85u72LgvYME3J3-NN8mu3UvaeUUqIZoKeR0svqjQ' 'report-sample'"

Im Backend erscheint im CE Text & Icon folgende Fehlermeldung, wenn ich ein SVG einbinde:
Content-Security-Policy: Die Einstellungen der Seite haben die Ausführung eines JavaScript-Evals (script-src) blockiert, da es gegen folgende Direktive verstößt: "script-src 'self' 'nonce-x2F8z64Dz4bEsac-iMrvqYRuTXhD052-yOiCrYgkXBS67-8Fz1X8DA' data: https://*.openstreetmap.org 'report-sample'" (es fehlt 'unsafe-eval')

Merkwürdig dabei ist, dass im CSP Modul im Backend lediglich die Fehlermeldung des Backends auftaucht; die ich im Frontend sehe wird im CSP Modul nicht gelistet.

Meine csp.yaml sieht so aus:

enforce:
  # Inherits default site-unspecific frontend policy mutations (enabled by default)
  inheritDefault: true
  mutations:
    - mode: "set"
      directive: "default-src"
      sources:
        - "'self'"
    - mode: extend
      directive: "connect-src"
      sources:
        - "'self'"
    - mode: extend
      directive: "img-src"
      sources:
        - "'self'"
        - 'data:'
        - 'https://*.typo3.org'
    - mode: extend
      directive: "script-src"
      sources:
        - "'self'"
        - "'nonce-proxy'"
    - mode: extend
      directive: "script-src-attr"
      sources:
        - "'self'"
        - "'nonce-proxy'"
    - mode: extend
      directive: "script-src-elem"
      sources:
        - "'self'"
        - "'nonce-proxy'"
    - mode: extend
      directive: "style-src-elem"
      sources:
        - "'self'"
        - "'nonce-proxy'"
  packages:
    # all (`*`) packages shall be included (`true`)
    '*': true
  
  reportingUrl: "https://projekt.ddev.site/csp-report"

Habt ihr einen Tipp, wie ich die csp.yaml ergänzen muss, damit die Fehlermeldungen weg sind?

Besten Dank, Steffen

Wolfgang Wagner

Ich schätze, das Problem liegt beim verwendeten SVG, hier hast du wahrscheinlich inline-styles drin, also sowas wie style="...".

Kannst du die rausnehmen bzw. auf Klassen umbauen?

Steffen

Man, an die Styles im SVG hab ich gar nicht mehr gedacht. 🙈 Du hast heute wohl deine Glaskugel parat. 👍
Danke dir für den Tipp, das hat es gebracht. Danke dir!

Unterstütze das Forum

Hilf mit, den Community Hub für TYPO3 werbefrei zu halten und die Betriebskosten zu decken. Werde Official Community Hub Supporter für nur 5 Euro im Monat (zzgl. USt) und erhalte ein exklusives Supporter-Badge. Jeder Beitrag zählt!

Jetzt Supporter werden

Impressum - Datenschutz - Kontakt - Netiquette - RSS