Liquid, JavaScript, Themes
Hallo,
beim Abschluss der Testbestellung über den Browser Firefox bekomme ich die Nachricht "Blockiert von der Inhaltsicherheitsrichtlinie"
Firefox hat diese Website daran gehindert, auf diese Weise geladen zu werden, weil die Website eine Inhaltsicherheitsrichtlinie (Content Security Policy) hat, die dies nicht erlaubt.
So wie ich dies verstehe, bedeutet dies, dass meine Shopify Website die Darstellung des Zahlungsabschlusses nicht erlaubt.
Weiß jemand, wir ich dies innerhalb Shopifys ändern kann?
Danke
Gelöst! Zur Lösung
Erfolg.
Hi @sdb-schmuck
Gabe aus Shopify hier!
Eine Frage: Hast du die Bestellung innerhalb des Theme Editor ausgeführt (und nicht auf der Webseite selber), wie folgendes Beispiel?
Die CSP (Content Security Policy) ist eine Sicherheitsfeature von Firefox und der Webseitenbetreiber kann mittels CSP festlegen, aus welchen Quellen Ressourcen genutzt werden können. Das ist ein Sicherheits-Standard zum Beispiel wenn man ein Checkout betätigt.
Daher würde ich raten die Testbestellungen nur auf dem Frontend zu testen und evtl. mit Google Chrome.
Hier die Content Blocking sowie CSP Einstellungen im Firefox die man auch ändern kann:
Ohne dies zu ändern wird die Weiterleitung von Klarna oder PayPal zurück zum Shopify Checkout geblockt. Dieser Schritt sei notwendig um den letzten Schritt des Checkouts abzuschliessen ansonsten wandert die Bestellung in die "Abgebrochenen Warenkörbe".
VG,
Gabe
Gabe | Social Care @ Shopify
- War meine Antwort hilfreich? Klicke Like um es mich wissen zu lassen!
- Wurde deine Frage beantwortet? Markiere es als Akzeptierte Lösung
- Um mehr zu erfahren, besuche das Shopify Help Center oder den Shopify Blog
Erfolg.
Hi @sdb-schmuck
Gabe aus Shopify hier!
Eine Frage: Hast du die Bestellung innerhalb des Theme Editor ausgeführt (und nicht auf der Webseite selber), wie folgendes Beispiel?
Die CSP (Content Security Policy) ist eine Sicherheitsfeature von Firefox und der Webseitenbetreiber kann mittels CSP festlegen, aus welchen Quellen Ressourcen genutzt werden können. Das ist ein Sicherheits-Standard zum Beispiel wenn man ein Checkout betätigt.
Daher würde ich raten die Testbestellungen nur auf dem Frontend zu testen und evtl. mit Google Chrome.
Hier die Content Blocking sowie CSP Einstellungen im Firefox die man auch ändern kann:
Ohne dies zu ändern wird die Weiterleitung von Klarna oder PayPal zurück zum Shopify Checkout geblockt. Dieser Schritt sei notwendig um den letzten Schritt des Checkouts abzuschliessen ansonsten wandert die Bestellung in die "Abgebrochenen Warenkörbe".
VG,
Gabe
Gabe | Social Care @ Shopify
- War meine Antwort hilfreich? Klicke Like um es mich wissen zu lassen!
- Wurde deine Frage beantwortet? Markiere es als Akzeptierte Lösung
- Um mehr zu erfahren, besuche das Shopify Help Center oder den Shopify Blog
Ich würde dieses Thema gerne aufgreifen
Egal in welchem Browser ich via http://ami.responsivedesign.is die Domain des Shops aufrufen möchte - erscheint die oben aufgeführte Meldung. Bei anderen Shopify-Shops erscheint diese Meldung nicht.
Es gibt ein Let´s Encrypt Zertifikat über eine eigene Domain.
Bestellungen können normal via Paypal und Klarna durchgeführt werden.
Wo kann das Problem noch liegen, da es kein Browser-Problem ist und auch keine Bestellung im Backend angestossen wurde?
Besten Dank vorab.
Birger
Hey @Birger
Hmmm, um welche Domain handelt sich hier? http://ami.responsivedesign.is/ hat einige Probleme wie man hier sieht:
Gabe | Social Care @ Shopify
- War meine Antwort hilfreich? Klicke Like um es mich wissen zu lassen!
- Wurde deine Frage beantwortet? Markiere es als Akzeptierte Lösung
- Um mehr zu erfahren, besuche das Shopify Help Center oder den Shopify Blog
Vielen Dank für Deine Antwort,
dass diese Seite ohne Zertifikat läuft, hat nichts mit dem Problem zu tun ;-).
Alle anderen Seiten die man dort aufruft - ich mache das, da ich das Ergebnis dann auf meiner Seite als Referenzübersicht nutze - funktionieren ja.
Die Domain lautet: Domain entfernt
Du kannst dort ja einfach mal eine andere Domain testen
Schicke dir eine PN
Gabe | Social Care @ Shopify
- War meine Antwort hilfreich? Klicke Like um es mich wissen zu lassen!
- Wurde deine Frage beantwortet? Markiere es als Akzeptierte Lösung
- Um mehr zu erfahren, besuche das Shopify Help Center oder den Shopify Blog
Hey @Birger
Ich schreibe dir nochmal hier bzgl. dem Online Tool http://ami.responsivedesign.is/ und wenn man das eigene Shop da testet.
Wir haben jetzt einen Stichprobentest auf diesem Tool mit ca. 10 verschiedenen Webseiten die alle Responsive sind, durchgeführt und ca. die hälfte (40-50%) haben die gleichen Werte bekommen, wie dein Shop. Siehe dieses Shop hier z. B. das auch super responsive ist wie deins und auf allen Browser und auf Mobile, und trotzdem bei diesem Checker keine Werte bekommt. Komisch ist dass die Checker einfach blank bleiben.
Andere Checker sind z.B. http://www.responsinator.com/ oder https://responsivedesignchecker.com/.
Der Sachverhalt:
Traditionelle Webseiten sind rein auf HTML und CSS gebaut und diese Checker Tools sind für diese eher traditionelle Webseiten konzipiert. Shopify Shops laufen auf Ruby-on-Rails und diese Checker kennen das einfach nicht, somit gibt es diese Anomalien.
Was würdest du sagen, @ICHMIRMICH?
Gabe | Social Care @ Shopify
- War meine Antwort hilfreich? Klicke Like um es mich wissen zu lassen!
- Wurde deine Frage beantwortet? Markiere es als Akzeptierte Lösung
- Um mehr zu erfahren, besuche das Shopify Help Center oder den Shopify Blog
Guten Morgen Gabe,
vielen Dank für Deine vielen Bemühungen.
Mir geht es ja nicht darum, dass ich genau dieses Tool nutze.
Mir geht es ausschließlich darum, warum dieser Sicherheitshinweis "Blockiert von den Inhaltsicherheitsrichtlinie (CSP) erscheint.
Ich möchte nur ausschließen, dass es im Shop eine Einstellung gibt, die diesen Hinwes verursacht und Kunden Probleme beim Checkout bekommen können. Es muss ja mit dem Shop zusammenhängen - wobei: wenn man otto.de http://ami.responsivedesign.is/?url=https%3A%2F%2Fwww.otto.de# aufruft erscheint die selbe Meldung - bei baur.de wiederum nicht - bei saturn.de aber auch wieder.
Wird wohl ein ungelöstes Rätsel bleiben
Besten Dank aber und einen schönen Sonntag noch.
Birger
Wie beschrieben, ist das bislang bei keiner normalen Webseite erschienen und im Netz gibt es ja viele Hinweise zu dieser "Fehlermeldung".
Hey @Birger
Hmmm, lass uns doch etwas mehr "digging" machen denn dieses Thema möchte ich doch nicht so leicht gehen lassen. Zu "Blocked by the Content Security Policy (CSP)" habe ich ein paar Leitfäden gefunden, die man durchforsten müsste (Ich selber bin leider erst morgen wieder im Office, bin aber auch weiss Gott kein Experte leider 😉
Content Security Policy (CSP) ist eine Sicherheitsfunktion in modernen Online-Systemen, die nicht vertrauenswürdige Anfragen an eine Online-Ressource erkennt und/oder blockiert (typischerweise über Cross-Site-Scripting-Angriffe). Fast wie ein lieber Cyber-Schäferhund, der Wölfe im Schafspelz erschnüffelt.
In deinem Fall sind 8 der folgende "SameSite" Fehler zu erkennen - die ggf. mit den eingebauten Elementen auf deiner HP zu tun haben, wie dein YT Video iFrame und die Firmenlogos ganz unten (custom HTML Abschnitt):
A cookie associated with a cross-site resource at http://youtube.com/ was set without the `SameSite` attribute.
A future release of Chrome will only deliver cookies with cross-site requests if they are set with `SameSite=None` and `Secure`.
You can review cookies in developer tools under Application>Storage>Cookies and see more details at
https://www.chromestatus.com/feature/5088147346030592 and https://www.chromestatus.com/feature/5633521622188032.
A cookie associated with a cross-site resource at http://doubleclick.net/ was set without the `SameSite` attribute.
A future release of Chrome will only deliver cookies with cross-site requests if they are set with `SameSite=None` and `Secure`.
You can review cookies in developer tools under Application>Storage>Cookies and see more details at
https://www.chromestatus.com/feature/5088147346030592 and https://www.chromestatus.com/feature/5633521622188032.
Usw.
Da ist z. B. die Rede von einen iFrame, dass dein Browser blockiert. Auf deiner HP läuft weiter unten ein Video z. B. das iFrame verwendet, oder angepasster Code. Kann ich aber nicht sagen, ob das was damit zu tun hat und denke, dass dein Shop weitgehend Responsive Design-konform ist.
Health Check
Ein Health Check habe ich auch ausgeführt und dabei keine Probleme begegnet, wie du hier sehen kannst. Siehe da auch der redirect_to_offsite mit Sofort ist im gesunden Zustand.
Siehe mehr ein paar mehr Ressourcen hier die ich ausgegraben habe:
Falls es spezifisch für den Firefox-Browser ist, dann hat es wahrscheinlich mit einer bestimmten Art von Inhalten zu tun, die sie einziehen und die mit den strengeren Sicherheitseinstellungen von Firefox in Konflikt stehen.
Gabe | Social Care @ Shopify
- War meine Antwort hilfreich? Klicke Like um es mich wissen zu lassen!
- Wurde deine Frage beantwortet? Markiere es als Akzeptierte Lösung
- Um mehr zu erfahren, besuche das Shopify Help Center oder den Shopify Blog
@Gabe Puh das ist mir neu und habe ich noch in keinem meiner Projekte erlebt.
Vielleicht auch mal interessant zu wissen was du so an Apps nutzt, die möglicherweise hier problematischen Code eingefügt habe.
Wenn die Frage an mich gerichtet ist:
Zwei Apps
Facebook Marketing
GDPR Legal Cookie
Die APP Facebook Marketing habe ich gelöscht - brachte aber sofort keine Änderung im Ergebnis
Habe Dir eine PN geschickt, da ein Projekt von Dir auch diese Meldung erzeugt
Ja denke auch diese zwei apps werden damit nicht viel zu tun haben. Aber siehe die viele ähnlich leitfäden die ich oben verlinkt habe...
Gabe | Social Care @ Shopify
- War meine Antwort hilfreich? Klicke Like um es mich wissen zu lassen!
- Wurde deine Frage beantwortet? Markiere es als Akzeptierte Lösung
- Um mehr zu erfahren, besuche das Shopify Help Center oder den Shopify Blog
Ich schaue morgen mal in Ruhe....
Ich habe heute ein anderes Template verwendet - ohne Inhalte - keine Änderung.
Dann habe ich es mir über die Entwickler-Konsole angesehen und dort steht folgendes
Content Security Policy: 'x-frame-options' wird wegen 'frame-ancestors'-Direktive ignoriert.
Wenn man das googelt findet man folgendes: https://wiki.selfhtml.org/wiki/Sicherheit/Content_Security_Policy
Könnt ihr damit etwas anfangen.
Kann es an der App
Am besten etwas A/B testen. Deaktiviere doch mal ein oder zwei Apps, oder mehrere usw., und schau ob das ein Effekt hat.
Gabe | Social Care @ Shopify
- War meine Antwort hilfreich? Klicke Like um es mich wissen zu lassen!
- Wurde deine Frage beantwortet? Markiere es als Akzeptierte Lösung
- Um mehr zu erfahren, besuche das Shopify Help Center oder den Shopify Blog
Ich habe nur noch diese eine APP eingerichtet
Wie kann ich diese deaktivieren? mir wird nur löschen angeboten.
Du kannst sie gerne löschen und wieder hinzufügen
Gabe | Social Care @ Shopify
- War meine Antwort hilfreich? Klicke Like um es mich wissen zu lassen!
- Wurde deine Frage beantwortet? Markiere es als Akzeptierte Lösung
- Um mehr zu erfahren, besuche das Shopify Help Center oder den Shopify Blog
Wie du eine intuitive und ansprechende Online-Shopping-Experience für deine Kunden au...
By Gabe Apr 1, 2024Shopify unterstützt die weltweit innovativsten Marken und Unternehmer:innen. Um Unterne...
By SarahF_Shopify Mar 25, 2024Was ist ein kleines Element eines Shopify Shops mit großer Wirkung? Ein Element ganz we...
By Kai Mar 14, 2024