Hier wird mittelfristig eine Sammlung von Problemen und Fragen und hoffentlich passenden Antworten entstehen.
default-src 'self';, frame-ancestors 'self' https://www.informatik.hu-berlin.de;
. Das bedeutet insbesonder, alle Kritischen Resourcen (Scripte, CSS, Styles, Images ...) nur von diesem, unserem Server, aus separaten Resourcen (also Dateien) geladen werden dürfen (und das ist gut so!). Insbesondere ist damit style-src: 'unsafe-inline'
verboten. Der Webbrowser ist also angehalten, jegliche Inline-Styles einfach zu verwerfen.Content-Type: application/pdf
das überhaupt relevant sein könnte. Erstens wird der CSP über den HTTP-Header ausgeliefert, also für alle Content-Types (so auch PDF). Zweitens häckelt der Chrome seinen "Built-in"-Viewer über eine Modifizierung der Webseite innerhalb des Browsers ... id="plugin" type="application/x-google-chrome-pdf" ...
um die PDF-Datei (siehe DevTools). Dabei verwendet er für die Größenanpassung Inline-Styles, die er anschließend aber wegen der CSP großzügig ignoriert :-(..htaccess
:
<FilesMatch "\.pdf$">
Header always set Content-Security-Policy "style-scr 'unsafe-inline'"
</FilesMatch>
Legal disclaimer © 2024 Humboldt University Berlin, Computer Science Department, Systems Architecture Group