6.2.3 Admin Content-Security-Policy

Nach dem update auf 6.2.3 funktioniert der Admin-Bereich nicht mehr. Wir haben Cloudflare mit Rocket Loader vorgeschaltet. Das läd jetzt nicht mehr auf Grund der Content-Security-Policy.

Wo kann ich denn jetzt den Header dafür anpassen?

Du meinst 6.2.3?

Ja 6.2.3. Tippfehler, sorry

Cloudflare unterstüzt leider kein CSP mit Nonces.

Entweder du deaktivierst via Page Rule den Rocket Loader für das Admin oder du deaktivierst das CSP im Admin

Zum deaktivieren des CSP neue Datei anlegen „config/packages/csp.yaml“ mit folgenden Inhalt und den Cache leeren

parameters:
    shopware.security.csp_templates:
        default: "object-src 'none';
                     script-src 'none';
                     base-uri 'self';"
        administration: ''
        storefront: ''

 

1 „Gefällt mir“

ok danke, ich probier mal ein bischen rum

ich schaffs nicht

        administration: "object-src 'none';
                         script-src 'self' 'unsafe-inline' ajax.cloudflare.com;
                         base-uri 'self';"

Content Security Policy: Die Einstellungen der Seite haben das Laden einer Ressource auf inline blockiert („script-src“)

Content Security Policy: Die Einstellungen der Seite haben das Laden einer Ressource auf inline blockiert („script-src“). (rocket-loader.js)

Der header der Anfrage sieht aber richtig aus:

content-security-policy: object-src 'none'; script-src 'self' 'unsafe-inline' ajax.cloudflare.com; base-uri 'self';

Aber keins von beiden funktioniert, extern & inline…

Bin ich der einzige mit dem Problem? Ist echt nervig gerade, da ich nicht mehr in den Admin-Bereich komme.