Bei aktivierter CSP im Backend von TYPO3 13 erhalte ich in mehreren Instanzen im CSP-Modul Hinweise, die offenbar auf den CKEditor zurückzuführen sind:
Details
Directive / Disposition
script-src / enforce
Document URI
https://cawdbase.ddev.site/typo3/record/edit?edit%5Btt_content%5D%5B158%5D=edit&returnUrl=%2Ftypo3%2Fmodule%2Fweb%2Flayout%3Ftoken%3D5e680a94de2add315333844a1d2bf943b969e515%26id%3D80%23element-tt_content-158 (1:33690)
Source File
https://cawdbase.ddev.site/_assets/937be57c7660e085d41e9dabf38b8aa1/Contrib/@ckeditor/ckeditor5-inspector.js
Blocked URI
eval
Sample
(function anonymous( ) { return this })
Dieser Hinweis wird jedes Mal geloggt, wenn ich Content-Elemente bearbeite.
Ich weiß, dass ich über die Datei myextension/Configuration/ContentSecurityPolicies.php
die CSP-Einstellungen fürs Backend anpassen kann. Aber meines Wissens nach wäre die einzige Möglichkeit, diese Meldung loszuwerden, unsafe-eval
für script-src
zu erlauben. Das gilt jedoch allgemein als sicherheitstechnisch problematisch.
Meine Fragen dazu:
- Was wäre in diesem Fall die richtige Vorgehensweise?
- Warum blockiert die Standard-CSP von TYPO3 überhaupt etwas, das TYPO3 selbst bereitstellt?