6.2.3 Content-Security-Policy blockiert Adminbreich

Shopware 6 (German) Administration
1

Ich komme nicht mehr in den Adminbereich.

Der Browser verhindert das laden von externem und inline JavaScript: Content Security Policy: Die Einstellungen der Seite haben das Laden einer Ressource auf inline blockiert ("script-src").

Heißt–der content-security-policy header blockiert die entsprechenden JavaScripte. Standardmäßig dieht der csp-Header so aus:

object-src 'none'; 
script-src 'strict-dynamic' 'nonce-TucTBeItbrE=' 'unsafe-inline' 'unsafe-eval' https: http: 'nonce-20adc25178b4415f3f7edfd5ce4e7686';
base-uri 'self';

Jetzt lege ich folgende Datei an config\packages\csp.yaml

parameters:
    shopware.security.csp_templates:
        default: "object-src 'none';
                  script-src 'none';
                  base-uri 'self';"
        administration: "object-src 'none';
                         script-src 'strict-dynamic' 'unsafe-inline' 'unsafe-eval' https: http: ajax.cloudflare.com;
                         base-uri 'self';"
        storefront: ""

Und bekomme folgenden csp-Header:

object-src 'none';
script-src 'strict-dynamic' 'unsafe-inline' 'unsafe-eval' https: http: ajax.cloudflare.com; 
base-uri 'self';

Trotzdem blockiert der Browser das externe Script: Content Security Policy: Die Einstellungen der Seite haben das Laden einer Ressource auf https://ajax.cloudflare.com/cdn-cgi/scripts/32490/cloudflare-static/rocket-loader.min.js blockiert ("script-src").

Selbst wenn ich den Rocket Loader bei Cloudflare deaktiviere, werden die nächsten JS Resourcen geblockt:

Content Security Policy: Die Einstellungen der Seite haben das Laden einer Ressource auf inline blockiert ("script-src"). (4 mal)

Content Security Policy: Die Einstellungen der Seite haben das Laden einer Ressource auf https://stage.meinshop.de/bundles/administration/static/js/runtime.js?15903907711484 blockiert ("script-src").

Content Security Policy: Die Einstellungen der Seite haben das Laden einer Ressource auf https://stage.meinshop.de/bundles/administration/static/js/vendors-node.js?15903907711367633 blockiert ("script-src").

Content Security Policy: Die Einstellungen der Seite haben das Laden einer Ressource auf https://stage.meinshop.de/bundles/administration/static/js/commons.js?1594708151199761 blockiert ("script-src").

Content Security Policy: Die Einstellungen der Seite haben das Laden einer Ressource auf https://stage.meinshop.de/bundles/administration/static/js/app.js?15947081514382631 blockiert ("script-src").

Tja und jetzt weiß ich auch nicht mehr

2

MAAAAN ich komme seit dem Update nicht mehr in den Adminbereich, wegen dieser sche*ß Content Security Policy.

Wie kann das denn sein, vor allen Dingen scheint das ja nur bei mir so zu sein.