Update nicht möglich wegen Content-Security-Policy (CSP)

WildnerDesigner · November 28, 2023 at 9:49 AM

Hallo,

bei einem unserer Kunden ist ein Update nicht möglich. Nach Klicken auf das Lupen-Symbol im Update-Popup erscheint nur eine weiße Seite (Firefox) oder eine entsprechende CSP-Fehlermeldung (Chromium).

Imn der Console steht: Content-Security-Policy: Die Einstellungen der Seite haben das Laden einer Ressource auf http://www.xxx.de/webEdition/liv…a5d708b13a6d61& blockiert ("frame-src").

Der Hoster unseres Kunden meint, dass er beliebig die CSP-Regeln setzen könnte, sieht aber erstmal das Problem beim CMS. Und zwar wird versucht über HTTP und nicht über HTTPS die URL aufzurufen. Jetzt ist dies aber auch bei anderen Hostern kein Problem.

Hat jemand eine Idee, woran es liegen könnten, dass er über HTTP versucht aufzurufen oder wie man dies fixen kann?

WBTMagnum · November 28, 2023 at 4:34 PM

Hallo,

Ich vermute mal, du hast da eine relativ alte wE Version im Einsatz. Schau mal hier: WebEdition hinter einem Reverse Proxy.

Alternativ kannst du die CSP für das wE Verzeichnis entsprechend anpassen / erweitern.

HTH,

Sascha

WildnerDesigner · November 29, 2023 at 9:15 AM

Hallo,

danke dir für deine Rückmeldung und die Hilfe.

Beim Hoster ist schon eine ganz komische Konstellation mit irgendwelchen Containern am Start.

Aber die wE-Version ist zumindest 9.1.6, also relativ aktuell.

Kannst du mir den Pfad zur constants.inc.php nennen? Ich habe den webEdition-Ordner durchsucht, aber keine entsprechende Datei gefunden.

WBTMagnum · November 29, 2023 at 1:12 PM

Wenn das schon eine 9.1.6 ist, dann muss das was anderes sein.

Deaktiviere doch mal die CSP Rules im webEdition Verzeichnis, indem du eine .htaccess Datei im webEdition Verzeichnis anlegst bzw. in der ev. bestehenden Datei ergänzt.

Code

# Disable CSP for webEdition
<IfModule mod_headers.c>
  Header unset Content-Security-Policy
</IfModule>

Liebe Grüße,

Sascha

WildnerDesigner · November 29, 2023 at 1:39 PM

Danke dir für die Hilfe. Leider klappt dies nicht, keine Änderung sichtbar.
Ich gehe nochmal auf den Hoster zu, vielleicht schafft er es doch anzupassen.

WildnerDesigner · November 29, 2023 at 4:02 PM

Es ist ein Reverse Proxy im Einsatz, der mit http weiterleitet. So wie im Fall von RE: WebEdition hinter einem Reverse Proxy

Der Hoster meint, dass technisch alles okay ist und ich solle auf die Entwickler zugehen, die sagen sollen, was an der Applikation eingestellt werden muss.
Dann wäre ich nun doch für weitere Tipps dankbar ?

WildnerDesigner · December 1, 2023 at 10:50 AM

Hat vielleicht noch jemand eine Idee, in welcher Datei der Aufruf mit http:// drinstecken könnte? Dann kann ich zumindest hier fest https:// eintragen.

WBTMagnum · December 1, 2023 at 11:05 AM

Sorry, das muss man sich direkt anschauen. Remote schwierig. Das "http" kann übrigens auch vom Reverse Proxy kommen, wenn der das umschreibt.

WildnerDesigner · December 4, 2023 at 11:36 AM

Das verstehe ich, danke dir für deine Hilfe. Dann wird es hierfür wohl in webEdition keine Lösung geben.

WildnerDesigner · December 6, 2023 at 1:28 PM

Am Hosting können wir nichts ändern, das http:// kommt vom Reverse Proxy.

Meine Überlegung war nun, dass ich in der Systemdatei, die dafür zuständig ist, dass der Frame nach Klick auf das Lupen-Symbol geladen wird, fest das Protokoll https:// eintrage.

Ich bin schon verschiedene mögliche Systemdateien durchgegangen, habe aber nicht die richtige Datei/Stelle gefunden.

Vielleicht kann mir mokraemer einen Tipp geben, welche Datei ich bearbeiten müsste?

Vielen Dank schon mal vorab für jede Hilfe!

WildnerDesigner · December 19, 2023 at 3:30 PM

Kurzes Update:

Der Hoster war so freundlich und hat sich in den webEdition-Code reingelesen (da ich es nicht hinbekommen habe).

Er hat auch eine Mail an die committee@webedition.org als Bugreport geschrieben mit folgender Info.

webEdition läuft bei uns in einem Container hinter einem Reverseproxy.

Hierbei wertet webEdition den https Status falsch aus, da es nicht alle nötigen Variablen ausliest.

Ich habe daher den Code angepasst, das auch solch ein Szenario nutzbar ist.

webEdition/we/classes/http/we_http_util.class.php

Code

public static function getServerUrl(bool $useUserPwd = false): string{
    $port = isset($_SERVER['SERVER_PORT']) && ($port = intval($_SERVER['SERVER_PORT'])) && ((self::isHttps() && $port !== 443 && $port !== 80) || (!self::isHttps() && $port !== 443 && $port !== 80)) ? ':' . $port : '';
    $auth = self::getServerAuth();
    $pwd = ($useUserPwd && strlen($auth) > 3 ) ? $auth : '';
    return we_http_util::getServerProtocol(true) . $pwd . $_SERVER['SERVER_NAME'] . $port;
}
public static function isHttps(): bool{
    return (isset($_SERVER['HTTPS']) && (strtoupper($_SERVER['HTTPS']) === 'ON' || $_SERVER['HTTPS'] == 1) || (isset($_SERVER['HTTP_X_FORWARDED_PROTO']) && $_SERVER['HTTP_X_FORWARDED_PROTO'] === 'https'));
}

Participate now!