`wget -d` liefert einen HTTP-Header mit folgendem Ausschnitt: ~~~ Content-Security-Policy: … script-src 'self' 'nonce-_Y8Gds4UGs8ne7njhzDghkyBZ4cAtpr6MTpD6yTqldc' *.selfhtml.org; … ~~~ (Die Umbrüche sind von mir.) An der 1. angemeckerten Stelle steht ~~~HTML <script>document.body.classList.add("js");</script> ~~~ Damit das funktioniert muss also entweder `'unsafe-inline'` zum obigen Header hinzugefügt werden, was aber nur bei Seiten ohne User-Content eine brauchbare Idee ist (Sonst folgt Verlust einer Verteidigungslinie) - https://forum.selfhtml.org - https://forum.selfhtml.org/ (leitet zu Nr. 1) - https://forum.selfhtml.org/all - https://forum.selfhtml.org/all/ [oder die Skripte werden mit](https://wiki.selfhtml.org/wiki/Sicherheit/Content_Security_Policy#Referenz_der_Werteangaben) ~~~HTML <script nonce="_Y8Gds4UGs8ne7njhzDghkyBZ4cAtpr6MTpD6yTqldc">…</script> ~~~ eingeleitet. Der Wert des nonce-Attributes ist eine Zufallszahl, die für jeden Abruf neu generiert werden muss. Offenbar hat jemand am Template gepfuscht… Mehr kann man nur auf dem Server sehen.

wget -d liefert einen HTTP-Header mit folgendem Ausschnitt: ~~~ Content-Security-Policy: … script-src 'self' 'nonce-_Y8Gds4UGs8ne7njhzDghkyBZ4cAtpr6MTpD6yTqldc' *.selfhtml.org; … ~~~ (Die Umbrüche sind von mir.) An der 1. angemeckerten Stelle steht ~~~HTML <script>document.body.classList.add("js");</script> ~~~ Damit das funktioniert muss also entweder `'unsafe-inline'` zum obigen Header hinzugefügt werden, was aber nur bei Seiten ohne User-Content eine brauchbare Idee ist (Sonst folgt Verlust einer Verteidigungslinie) - https://forum.selfhtml.org - https://forum.selfhtml.org/ (leitet zu Nr. 1) - https://forum.selfhtml.org/all - https://forum.selfhtml.org/all/ [oder die Skripte werden mit](https://wiki.selfhtml.org/wiki/Sicherheit/Content_Security_Policy#Referenz_der_Werteangaben) ~~~HTML <script nonce="_Y8Gds4UGs8ne7njhzDghkyBZ4cAtpr6MTpD6yTqldc">…</script> ~~~ eingeleitet. Der Wert des nonce-Attributes ist eine Zufallszahl, die für jeden Abruf neu generiert werden muss. Offenbar hat jemand am Template gepfuscht… Mehr kann man nur auf dem Server sehen.

wget -d liefert einen HTTP-Header mit folgendem Ausschnitt: ~~~ Content-Security-Policy: … script-src 'self' 'nonce-_Y8Gds4UGs8ne7njhzDghkyBZ4cAtpr6MTpD6yTqldc' *.selfhtml.org; … ~~~ (Die Umbrüche sind von mir.) An der angemeckerten Stelle steht ~~~HTML <script>document.body.classList.add("js");</script> ~~~ Damit das funktioniert muss also entweder `'unsafe-inline'` zum obigen Header hinzugefügt werden, was aber nur bei Seiten ohne User-Content eine brauchbare Idee ist (Sonst folgt Verlust einer Verteidigungslinie) - https://forum.selfhtml.org - https://forum.selfhtml.org/ (leitet zu Nr. 1) - https://forum.selfhtml.org/all - https://forum.selfhtml.org/all/ [oder die Skripte werden mit](https://wiki.selfhtml.org/wiki/Sicherheit/Content_Security_Policy#Referenz_der_Werteangaben) ~~~HTML <script nonce="_Y8Gds4UGs8ne7njhzDghkyBZ4cAtpr6MTpD6yTqldc">…</script> ~~~ eingeleitet. Der Wert des nonce-Attributes ist eine Zufallszahl, die für jeden Abruf neu generiert werden muss. Offenbar hat jemand am Template gepfuscht… Mehr kann man nur auf dem Server sehen.

wget -d liefert einen HTTP-Header mit folgendem Ausschnitt: ~~~ Content-Security-Policy: … script-src 'self' 'nonce-_Y8Gds4UGs8ne7njhzDghkyBZ4cAtpr6MTpD6yTqldc' *.selfhtml.org; … ~~~ An der angemeckerten Stelle steht ~~~HTML <script>document.body.classList.add("js");</script> ~~~ Damit das funktioniert muss entweder `'unsafe-inline'` hinzugefügt werden [oder die Skripte werden mit](https://wiki.selfhtml.org/wiki/Sicherheit/Content_Security_Policy#Referenz_der_Werteangaben) ~~~HTML <script nonce="_Y8Gds4UGs8ne7njhzDghkyBZ4cAtpr6MTpD6yTqldc">…</script> ~~~ eingeleitet. Der Wert des nonce-Attributes ist eine Zufallszahl, die für jeden Abruf neu generiert werden muss. Offenbar hat jemand am Template gepfuscht… Mehr kann man nur auf dem Server sehen.