Kann mich nicht Einloggen, CSP blockiert Skripte

Manfred

Ich bien fast am verzweifeln. Scheinbar ohne unser Zutun (bedingt wahrscheinlich durch ein automatisches Update bei Mittwald) können wir uns in den Backends zwei unserer TYPO3 13 Websites nicht anmelden. Zumindest nicht in Chrome oder Firefox. Wir haben das Problem auf die CSP (Content Security Policies) einschränken können. Safari kümmert sich nicht drum und so können wir uns zumindest damit ins Backend einloggen. Allerdings sind auch da einzelne Icons als schwarze Fläche zu sehen (inline Styling wird blockiert. Ich habe alle Tips aus der Dokumentation probiert und komme nicht weiter. Ich gehen davon aus dass die Direktive strict-dynamic dass Problem ist. Wo kann die herkommen? In unserer Extension ist sie nicht definert. Auf Systemebene habe ich versucht csp zu deaktivieren, das geht aber nicht in 13. Wie kann ich die Site zumindest in der Debugging Phase auf dem Dev System für die User erreichbar machen? Hat jemand eine Idee? Ich wäre sehr dankbar.
Hier noch die eingesetzten Extensions (es ist eine alte Site daher noch mask)

Chris Müller

Wie lautet denn konkret deine CSP für das Backend (siehst du auch in der Browser-Konsole bei der Anfrage) und auch die Verletzungen, die im Browser angemerkt werden?

Manfred

Chris Müller
Die lokalen Skripte login.js, bootstrap.js usw. wurden von der CSP blockiert und wollten eine nonce. Nun habe ich das Problem zumindest so lösen können dass ich direkt in der Datenbank die direktive strict-dynamic in der Tabelle sys_csp_resolution entfernt habe. Warum die in beiden Websites unabhängig voneinander reingeraten ist, versuche ich gerade nachzuvollziehen. Noch bleibt das Problem dass alle svg keine inline styles haben dürfen, was dazu führt dass ich überall schwarze Blöcke im Backend habe und dass die Firmenlogos (ebenfalls svg) schwarz weiss angezeigt werden. . Ich habe auch jede Menge Warnungen im CSP Modul...

Manfred

Manfred Es hat sich erledigt. Weitere Einträge in der Tabelle einfach gelöscht und damit war das Problem mit den Grafiken auch gelöst. style-src-elem Direktive war das Problem. Eintrag gelöscht.

Chris Müller

Ah, da hat wohl jemand im CSP-Backend-Model entsprechende Meldungen durchgewunken, die dann in die Tabelle "sys_csp_resolution" gespeichert wurden. Meine Empfehlung: Nie etwas in der Tabelle "sys_csp_resolution" speichern, sondern Anpassungen in einer Configuration/ContentSecurityPolicies.php im Site-Package oder einer entsprechenden Extension für das Backend vornehmen. So ist nachvollziehbar, wer was wann (bei Verwendung von Git) gemacht hat.
Idealerweise ein externes Tool einbinden (z.B. Sentry, GlitchTip, Report URI) und das Backend-Modul ausblenden.

Chris Müller

Und zu style-src-elem: Falls diese definiert ist, wird style-src nicht mehr genutzt. Das ist eine Hierarchie: style-src-elem -> style-src -> default-src. Hier wurden dann wohl die style-src nicht mehr gezogen. Wie gesagt, ein Blick in die CSP-Header können helfen, solche Probleme zu identifizieren.
Gleiches gilt für script-src-elem -> script-src -> default-src.

Manfred

Vielen Dank! Da habe ich schon einen Verdächtigen ;)

Unterstütze das Forum

Hilf mit, den Community Hub für TYPO3 werbefrei zu halten und die Betriebskosten zu decken. Werde Official Community Hub Supporter für nur 5 Euro im Monat (zzgl. USt) und erhalte ein exklusives Supporter-Badge. Jeder Beitrag zählt!

Jetzt Supporter werden

Impressum - Datenschutz - Kontakt - Netiquette - RSS