Moin in die Runde,
ich habe aktuell noch ein CSP Problem in meinem Template, dass ich gern lösen würde.
Ich habe ein Lightbox Script und einige CSP Regeln per Yaml File eingebunden. In der CSP Konfiguration habe ich alle Checkboxen aktiviert. Die Lightbox habe ich per Asset Viewhelper eingebunden:
<f:asset.script identifier="fslightbox" src="EXT:mytemplate/Resources/Public/JavaScripts/Fslightbox/fslightbox.js" nonce="{f:security.nonce()}" />
<f:asset.script identifier="fslightbox-individual" src="EXT:mytemplate/Resources/Public/JavaScripts/Fslightbox/fslightbox_individual.js" nonce="{f:security.nonce()}"/>
Die Lightbox ist so eingebunden:
<div class="orbit" role="region" aria-label="{newsItem.title}" data-auto-play="false" data-orbit data-options="animInFromLeft:fade-in; animInFromRight:fade-in; animOutToLeft:fade-out; animOutToRight:fade-out;" data-swipe="true">
Meine CSP sieht so aus:
// Inherits default site-unspecific frontend policy mutations (enabled per default)
inheritDefault: true
mutations:
// Results in `default-src 'self'`
- mode: "set"
directive: "default-src"
sources:
- "'self'"
// Extends the ancestor directive ('default-src'),
// thus reuses 'self' and adds additional sources
// Results in `img-src 'self' data: https://*.typo3.org`
- mode: "extend"
directive: "img-src"
sources:
- "data:"
- "https://*.typo3.org"
- mode: "extend"
directive: "style-src-elem"
sources:
- "'self'"
// Extends the ancestor directive ('default-src'),
// thus reuses 'self' and adds additional sources
// Results in `script-src 'self' 'nonce-[random]'`
// ('nonce-proxy' is substituted when compiling the policy)
- mode: "extend"
directive: "script-src"
sources:
- "'nonce-proxy'"
// Results in `worker-src blob:`
- mode: "set"
directive: "worker-src"
sources:
- "blob:"
In der Browser-Console bekomme ich folgende Fehlermeldung:
Content-Security-Policy: Die Einstellungen der Seite haben die Anwendung eines Inline-Styles (style-src-elem) blockiert, da er gegen folgende Direktive verstößt: "style-src-elem 'self' 'nonce-ZIjtmTeTeo1r_2Eplnlyx88QQA2lBzHQpUdBPJ910-hrVqSDlDQgTw' 'report-sample'"
Kann mir jemand weiterhelfen, um die Fehler zu beseitigen und die CSP clear zu haben?
Besten Dank schon mal
Steffen