FROM CACHE - de_header
Gelöst

Sicherstellen, dass CSP effektiv gegen XSS-Angriffe wirkt

jagXtreme
Tourist
10 0 3

Beim  Google test meines Shops hab ich folgende 'Schwerwiegende" Probleme zurückgemeldet bekommen.

Was ist da zu tun?

 

BeschreibungAnweisungSchweregrad

Die Direktive „script-src“ fehlt. Dies kann die Ausführung unsicherer Skripts ermöglichen.
script-src
Hoch
Wenn „object-src“ fehlt, können Plug-ins eingeschleust werden, die unsichere Skripts ausführen. Du solltest daher „object-src“ auf „none“ setzen.
object-src
Hoch
1 AKZEPTIERTE LÖSUNG

Gabe
Shopify Staff
18047 2853 4197

Erfolg.

Hey @jagXtreme 

 

Danke für die Angaben und diese Warnungen beziehen sich meist auf Sicherheitsbedenken, die beim Laden von Inhalten über deinem Theme auftreten können - also ist hier dein Theme der First-port-of-call

Die Direktive "script-src" fehlt Warnung zeigt an, dass das Theme Code scheinbar keine Sicherheitsrichtlinien für die Ausführung von JavaScript enthält und definiert hat. Dadurch können unsichere Skripts im Shop ausgeführt werden.

 

Um dieses Problem zu beheben, vielleicht eine CSP (Content Security Policy) im Shop implementieren, um zu definieren, welche Skripte ausgeführt werden können. Du kannst den Code in den Header Liquid des Themes einfügen ggf. mit einem Content Security Policy-Generator wie https://csp-evaluator.withgoogle.com/, um eine CSP zu generieren.

 

"object-src" fehlt zeigt an, dass, wie auch oben, keine Sicherheitsrichtlinien für die Ausführung von Apps definiert hat. Dadurch können unsichere Apps ausgeführt werden.

Um dieses Problem zu beheben, ebefalls eine CSP implementieren, um zu definieren, welche Plug-Ins ausgeführt werden können. Füge beispielsweise einen "object-src 'none'" zur CSP hinzu, um zu verhindern, dass Plug-Ins von unsicheren Quellen ausgeführt werden.

 

Es wird empfohlen, einen erfahrenen Entwickler oder Experten zu kontaktieren, um diese Änderungen vorzunehmen, um sicherzustellen, dass sie korrekt implementiert werden. Gerne kann ich welche empfehlen.

Gabe | Social Care @ Shopify
 - War meine Antwort hilfreich? Klicke Like um es mich wissen zu lassen! 
 - Wurde deine Frage beantwortet? Markiere es als Akzeptierte Lösung 
 - Um mehr zu erfahren, besuche das Shopify Help Center oder den Shopify Blog

Lösung in ursprünglichem Beitrag anzeigen

1 ANTWORT 1

Gabe
Shopify Staff
18047 2853 4197

Erfolg.

Hey @jagXtreme 

 

Danke für die Angaben und diese Warnungen beziehen sich meist auf Sicherheitsbedenken, die beim Laden von Inhalten über deinem Theme auftreten können - also ist hier dein Theme der First-port-of-call

Die Direktive "script-src" fehlt Warnung zeigt an, dass das Theme Code scheinbar keine Sicherheitsrichtlinien für die Ausführung von JavaScript enthält und definiert hat. Dadurch können unsichere Skripts im Shop ausgeführt werden.

 

Um dieses Problem zu beheben, vielleicht eine CSP (Content Security Policy) im Shop implementieren, um zu definieren, welche Skripte ausgeführt werden können. Du kannst den Code in den Header Liquid des Themes einfügen ggf. mit einem Content Security Policy-Generator wie https://csp-evaluator.withgoogle.com/, um eine CSP zu generieren.

 

"object-src" fehlt zeigt an, dass, wie auch oben, keine Sicherheitsrichtlinien für die Ausführung von Apps definiert hat. Dadurch können unsichere Apps ausgeführt werden.

Um dieses Problem zu beheben, ebefalls eine CSP implementieren, um zu definieren, welche Plug-Ins ausgeführt werden können. Füge beispielsweise einen "object-src 'none'" zur CSP hinzu, um zu verhindern, dass Plug-Ins von unsicheren Quellen ausgeführt werden.

 

Es wird empfohlen, einen erfahrenen Entwickler oder Experten zu kontaktieren, um diese Änderungen vorzunehmen, um sicherzustellen, dass sie korrekt implementiert werden. Gerne kann ich welche empfehlen.

Gabe | Social Care @ Shopify
 - War meine Antwort hilfreich? Klicke Like um es mich wissen zu lassen! 
 - Wurde deine Frage beantwortet? Markiere es als Akzeptierte Lösung 
 - Um mehr zu erfahren, besuche das Shopify Help Center oder den Shopify Blog