Wahrscheinliche technische Ursache.
bearbeitet von Raketenwilliwget -d liefert einen HTTP-Header mit folgendem Ausschnitt:
~~~
Content-Security-Policy:
…
script-src
'self'
'nonce-_Y8Gds4UGs8ne7njhzDghkyBZ4cAtpr6MTpD6yTqldc'
*.selfhtml.org;
…
~~~
(Die Umbrüche sind von mir.)
An der 1. angemeckerten Stelle steht
~~~HTML
<script>document.body.classList.add("js");</script>
~~~
Damit das funktioniert muss also entweder `'unsafe-inline'` zum obigen Header hinzugefügt werden, was aber nur bei Seiten ohne User-Content eine brauchbare Idee ist (Sonst folgt Verlust einer Verteidigungslinie)
- https://forum.selfhtml.org
- https://forum.selfhtml.org/ (leitet zu Nr. 1)
- https://forum.selfhtml.org/all
- https://forum.selfhtml.org/all/
[oder die Skripte werden mit](https://wiki.selfhtml.org/wiki/Sicherheit/Content_Security_Policy#Referenz_der_Werteangaben)
~~~HTML
<script nonce="_Y8Gds4UGs8ne7njhzDghkyBZ4cAtpr6MTpD6yTqldc">…</script>
~~~
eingeleitet. Der Wert des nonce-Attributes ist eine Zufallszahl, die für jeden Abruf neu generiert werden muss. Offenbar hat jemand am Template gepfuscht…
Mehr kann man nur auf dem Server sehen.
Wahrscheinliche technische Ursache.
bearbeitet von Raketenwilliwget -d liefert einen HTTP-Header mit folgendem Ausschnitt:
~~~
Content-Security-Policy:
…
script-src
'self'
'nonce-_Y8Gds4UGs8ne7njhzDghkyBZ4cAtpr6MTpD6yTqldc'
*.selfhtml.org;
…
~~~
(Die Umbrüche sind von mir.)
An der angemeckerten Stelle steht
~~~HTML
<script>document.body.classList.add("js");</script>
~~~
Damit das funktioniert muss also entweder `'unsafe-inline'` zum obigen Header hinzugefügt werden, was aber nur bei Seiten ohne User-Content eine brauchbare Idee ist (Sonst folgt Verlust einer Verteidigungslinie)
- https://forum.selfhtml.org
- https://forum.selfhtml.org/ (leitet zu Nr. 1)
- https://forum.selfhtml.org/all
- https://forum.selfhtml.org/all/
[oder die Skripte werden mit](https://wiki.selfhtml.org/wiki/Sicherheit/Content_Security_Policy#Referenz_der_Werteangaben)
~~~HTML
<script nonce="_Y8Gds4UGs8ne7njhzDghkyBZ4cAtpr6MTpD6yTqldc">…</script>
~~~
eingeleitet. Der Wert des nonce-Attributes ist eine Zufallszahl, die für jeden Abruf neu generiert werden muss. Offenbar hat jemand am Template gepfuscht…
Mehr kann man nur auf dem Server sehen.
Wahrscheinliche technische Ursache.
bearbeitet von Raketenwilliwget -d liefert einen HTTP-Header mit folgendem Ausschnitt:
~~~
Content-Security-Policy:
…
script-src
'self'
'nonce-_Y8Gds4UGs8ne7njhzDghkyBZ4cAtpr6MTpD6yTqldc'
*.selfhtml.org;
…
~~~
An der angemeckerten Stelle steht
~~~HTML
<script>document.body.classList.add("js");</script>
~~~
Damit das funktioniert muss entweder `'unsafe-inline'` hinzugefügt werden [oder die Skripte werden mit](https://wiki.selfhtml.org/wiki/Sicherheit/Content_Security_Policy#Referenz_der_Werteangaben)
~~~HTML
<script nonce="_Y8Gds4UGs8ne7njhzDghkyBZ4cAtpr6MTpD6yTqldc">…</script>
~~~
eingeleitet. Der Wert des nonce-Attributes ist eine Zufallszahl, die für jeden Abruf neu generiert werden muss. Offenbar hat jemand am Template gepfuscht…
Mehr kann man nur auf dem Server sehen.