FROM CACHE - de_header
Gelöst

Blockiert von der Inhaltsicherheitsrichtlinie

sdb-schmuck
Besucher
3 1 0

Hallo,

 

beim Abschluss der Testbestellung über den Browser Firefox bekomme ich die Nachricht "Blockiert von der Inhaltsicherheitsrichtlinie"

Firefox hat diese Website daran gehindert, auf diese Weise geladen zu werden, weil die Website eine Inhaltsicherheitsrichtlinie (Content Security Policy) hat, die dies nicht erlaubt.

So wie ich dies verstehe, bedeutet dies, dass meine Shopify Website die Darstellung des Zahlungsabschlusses nicht erlaubt.

Weiß jemand, wir ich dies innerhalb Shopifys ändern kann?

Danke

1 AKZEPTIERTE LÖSUNG

Gabe
Shopify Staff
16357 2587 3853

Erfolg.

Hi @sdb-schmuck 

 

Gabe aus Shopify hier!

 

Eine Frage: Hast du die Bestellung innerhalb des Theme Editor ausgeführt (und nicht auf der Webseite selber), wie folgendes Beispiel?

 

 

Die CSP (Content Security Policy) ist eine Sicherheitsfeature von Firefox und der Webseitenbetreiber kann mittels CSP festlegen, aus welchen Quellen Ressourcen genutzt werden können. Das ist ein Sicherheits-Standard zum Beispiel wenn man ein Checkout betätigt.

 

Daher würde ich raten die Testbestellungen nur auf dem Frontend zu testen und evtl. mit Google Chrome.


Hier die Content Blocking sowie CSP Einstellungen im Firefox die man auch ändern kann:

 

 

Ohne dies zu ändern wird die Weiterleitung von Klarna oder PayPal zurück zum Shopify Checkout geblockt. Dieser Schritt sei notwendig um den letzten Schritt des Checkouts abzuschliessen ansonsten wandert die Bestellung in die "Abgebrochenen Warenkörbe".

 

VG,

Gabe

Gabe | Social Care @ Shopify
 - War meine Antwort hilfreich? Klicke Like um es mich wissen zu lassen! 
 - Wurde deine Frage beantwortet? Markiere es als Akzeptierte Lösung 
 - Um mehr zu erfahren, besuche das Shopify Help Center oder den Shopify Blog

Lösung in ursprünglichem Beitrag anzeigen

16 ANTWORTEN 16

Gabe
Shopify Staff
16357 2587 3853

Erfolg.

Hi @sdb-schmuck 

 

Gabe aus Shopify hier!

 

Eine Frage: Hast du die Bestellung innerhalb des Theme Editor ausgeführt (und nicht auf der Webseite selber), wie folgendes Beispiel?

 

 

Die CSP (Content Security Policy) ist eine Sicherheitsfeature von Firefox und der Webseitenbetreiber kann mittels CSP festlegen, aus welchen Quellen Ressourcen genutzt werden können. Das ist ein Sicherheits-Standard zum Beispiel wenn man ein Checkout betätigt.

 

Daher würde ich raten die Testbestellungen nur auf dem Frontend zu testen und evtl. mit Google Chrome.


Hier die Content Blocking sowie CSP Einstellungen im Firefox die man auch ändern kann:

 

 

Ohne dies zu ändern wird die Weiterleitung von Klarna oder PayPal zurück zum Shopify Checkout geblockt. Dieser Schritt sei notwendig um den letzten Schritt des Checkouts abzuschliessen ansonsten wandert die Bestellung in die "Abgebrochenen Warenkörbe".

 

VG,

Gabe

Gabe | Social Care @ Shopify
 - War meine Antwort hilfreich? Klicke Like um es mich wissen zu lassen! 
 - Wurde deine Frage beantwortet? Markiere es als Akzeptierte Lösung 
 - Um mehr zu erfahren, besuche das Shopify Help Center oder den Shopify Blog

Birger
Tourist
7 0 0

Ich würde dieses Thema gerne aufgreifen

 

Egal in welchem Browser ich via http://ami.responsivedesign.is die Domain des Shops aufrufen möchte - erscheint die oben aufgeführte Meldung. Bei anderen Shopify-Shops erscheint diese Meldung nicht.

Es gibt ein Let´s Encrypt Zertifikat über eine eigene Domain.

 

Bestellungen können normal via Paypal und Klarna durchgeführt werden.

 

Wo kann das Problem noch liegen, da es kein Browser-Problem ist und auch keine Bestellung im Backend angestossen wurde?

 

Besten Dank vorab.

 

Birger

 

bsv.png

Gabe
Shopify Staff
16357 2587 3853

Hey @Birger 

 

Hmmm, um welche Domain handelt sich hier? http://ami.responsivedesign.is/ hat einige Probleme wie man hier sieht:

 

Gabe | Social Care @ Shopify
 - War meine Antwort hilfreich? Klicke Like um es mich wissen zu lassen! 
 - Wurde deine Frage beantwortet? Markiere es als Akzeptierte Lösung 
 - Um mehr zu erfahren, besuche das Shopify Help Center oder den Shopify Blog

Birger
Tourist
7 0 0

Vielen Dank für Deine Antwort,

 

dass diese Seite ohne Zertifikat läuft, hat nichts mit dem Problem zu tun ;-).

 

Alle anderen Seiten die man dort aufruft - ich mache das, da ich das Ergebnis dann auf meiner Seite als Referenzübersicht  nutze - funktionieren ja.

 

Die Domain lautet: Domain entfernt

 

Du kannst dort ja einfach mal eine andere Domain testen

 

Gabe
Shopify Staff
16357 2587 3853

Schicke dir eine PN

Gabe | Social Care @ Shopify
 - War meine Antwort hilfreich? Klicke Like um es mich wissen zu lassen! 
 - Wurde deine Frage beantwortet? Markiere es als Akzeptierte Lösung 
 - Um mehr zu erfahren, besuche das Shopify Help Center oder den Shopify Blog

Gabe
Shopify Staff
16357 2587 3853

Hey @Birger 

 

Ich schreibe dir nochmal hier bzgl. dem Online Tool http://ami.responsivedesign.is/ und wenn man das eigene Shop da testet.

 

Wir haben jetzt einen Stichprobentest auf diesem Tool mit ca. 10 verschiedenen Webseiten die alle Responsive sind, durchgeführt und ca. die hälfte (40-50%) haben die gleichen Werte bekommen, wie dein Shop. Siehe dieses Shop hier z. B. das auch super responsive ist wie deins und auf allen Browser und auf Mobile, und trotzdem bei diesem Checker keine Werte bekommt. Komisch ist dass die Checker einfach blank bleiben. 

 

Andere Checker sind z.B. http://www.responsinator.com/ oder https://responsivedesignchecker.com/.

 

Der Sachverhalt:

 

Traditionelle Webseiten sind rein auf HTML und CSS gebaut und diese Checker Tools sind für diese eher traditionelle Webseiten konzipiert. Shopify Shops laufen auf Ruby-on-Rails und diese Checker kennen das einfach nicht, somit gibt es diese Anomalien.

 

Was würdest du sagen, @ICHMIRMICH?

Gabe | Social Care @ Shopify
 - War meine Antwort hilfreich? Klicke Like um es mich wissen zu lassen! 
 - Wurde deine Frage beantwortet? Markiere es als Akzeptierte Lösung 
 - Um mehr zu erfahren, besuche das Shopify Help Center oder den Shopify Blog

Birger
Tourist
7 0 0

Guten Morgen Gabe,

 

vielen Dank für Deine vielen Bemühungen.

Mir geht es ja nicht darum, dass ich genau dieses Tool nutze.

 

Mir geht es ausschließlich darum, warum dieser Sicherheitshinweis "Blockiert von den Inhaltsicherheitsrichtlinie (CSP)  erscheint.

 

Ich möchte nur ausschließen, dass es im Shop eine Einstellung gibt, die diesen Hinwes verursacht und Kunden Probleme beim Checkout bekommen können. Es muss ja mit dem Shop zusammenhängen - wobei: wenn man otto.de http://ami.responsivedesign.is/?url=https%3A%2F%2Fwww.otto.de# aufruft erscheint die selbe Meldung - bei baur.de wiederum nicht - bei saturn.de aber auch wieder.

 

Wird wohl ein ungelöstes Rätsel bleiben

 

Besten Dank aber und einen schönen Sonntag noch.

Birger

 

Wie beschrieben, ist das bislang bei keiner normalen Webseite erschienen und im Netz gibt es ja viele Hinweise zu dieser "Fehlermeldung".

 

 

Gabe
Shopify Staff
16357 2587 3853

Hey @Birger 

 

Hmmm, lass uns doch etwas mehr "digging" machen denn dieses Thema möchte ich doch nicht so leicht gehen lassen. Zu "Blocked by the Content Security Policy (CSP)" habe ich ein paar Leitfäden gefunden, die man durchforsten müsste (Ich selber bin leider erst morgen wieder im Office, bin aber auch weiss Gott kein Experte leider 😉

 

Content Security Policy (CSP) ist eine Sicherheitsfunktion in modernen Online-Systemen, die nicht vertrauenswürdige Anfragen an eine Online-Ressource erkennt und/oder blockiert (typischerweise über Cross-Site-Scripting-Angriffe). Fast wie ein lieber Cyber-Schäferhund, der Wölfe im Schafspelz erschnüffelt.

 

In deinem Fall sind 8 der folgende "SameSite" Fehler zu erkennen - die ggf. mit den eingebauten Elementen auf deiner HP zu tun haben, wie dein YT Video iFrame und die Firmenlogos ganz unten (custom HTML Abschnitt):

 

A cookie associated with a cross-site resource at http://youtube.com/ was set without the `SameSite` attribute. 
A future release of Chrome will only deliver cookies with cross-site requests if they are set with `SameSite=None` and `Secure`.
You can review cookies in developer tools under Application>Storage>Cookies and see more details at
https://www.chromestatus.com/feature/5088147346030592 and https://www.chromestatus.com/feature/5633521622188032.

A cookie associated with a cross-site resource at http://doubleclick.net/ was set without the `SameSite` attribute.
A future release of Chrome will only deliver cookies with cross-site requests if they are set with `SameSite=None` and `Secure`.
You can review cookies in developer tools under Application>Storage>Cookies and see more details at
https://www.chromestatus.com/feature/5088147346030592 and https://www.chromestatus.com/feature/5633521622188032.

Usw.

 

 

 

Da ist z. B. die Rede von einen iFrame, dass dein Browser blockiert. Auf deiner HP läuft weiter unten ein Video z. B. das iFrame verwendet, oder angepasster Code. Kann ich aber nicht sagen, ob das was damit zu tun hat und denke, dass dein Shop weitgehend Responsive Design-konform ist.

 

Health Check

 

Ein Health Check habe ich auch ausgeführt und dabei keine Probleme begegnet, wie du hier sehen kannst. Siehe da auch der redirect_to_offsite mit Sofort ist im gesunden Zustand.

 

Siehe mehr ein paar mehr Ressourcen hier die ich ausgegraben habe:

 

 

 

Falls es spezifisch für den Firefox-Browser ist, dann hat es wahrscheinlich mit einer bestimmten Art von Inhalten zu tun, die sie einziehen und die mit den strengeren Sicherheitseinstellungen von Firefox in Konflikt stehen. 

Gabe | Social Care @ Shopify
 - War meine Antwort hilfreich? Klicke Like um es mich wissen zu lassen! 
 - Wurde deine Frage beantwortet? Markiere es als Akzeptierte Lösung 
 - Um mehr zu erfahren, besuche das Shopify Help Center oder den Shopify Blog

ICHMIRMICH
Shopify Expert
261 48 129

@Gabe Puh das ist mir neu und habe ich noch in keinem meiner Projekte erlebt. 

Vielleicht auch mal interessant zu wissen was du so an Apps nutzt, die möglicherweise hier problematischen Code eingefügt habe.

Birger
Tourist
7 0 0

@ICHMIRMICH 

 

Wenn die Frage an mich gerichtet ist:

 

Zwei Apps

Facebook Marketing

GDPR Legal Cookie

 

Die APP Facebook Marketing habe ich gelöscht - brachte aber sofort keine Änderung im Ergebnis

 

Habe Dir eine PN geschickt, da ein Projekt von Dir auch diese Meldung erzeugt

Gabe
Shopify Staff
16357 2587 3853

Ja denke auch diese zwei apps werden damit nicht viel zu tun haben. Aber siehe die viele ähnlich leitfäden die ich oben verlinkt habe...

Gabe | Social Care @ Shopify
 - War meine Antwort hilfreich? Klicke Like um es mich wissen zu lassen! 
 - Wurde deine Frage beantwortet? Markiere es als Akzeptierte Lösung 
 - Um mehr zu erfahren, besuche das Shopify Help Center oder den Shopify Blog

Birger
Tourist
7 0 0

Ich schaue morgen mal in Ruhe....

Birger
Tourist
7 0 0

Ich habe heute ein anderes Template verwendet - ohne Inhalte - keine Änderung.

 

Dann habe ich es mir über die Entwickler-Konsole angesehen und dort steht folgendes

 

Content Security Policy: 'x-frame-options' wird wegen 'frame-ancestors'-Direktive ignoriert.

 

Wenn man das googelt findet man folgendes: https://wiki.selfhtml.org/wiki/Sicherheit/Content_Security_Policy

 

Könnt ihr damit etwas anfangen.

 

Kann es an der App

liegen?
Evtl. kann der Test diese Hürde nicht überspringen - ist aber nur eine Vermutung
 

 

Gabe
Shopify Staff
16357 2587 3853

Am besten etwas A/B testen. Deaktiviere doch mal ein oder zwei Apps, oder mehrere usw., und schau ob das ein Effekt hat.

Gabe | Social Care @ Shopify
 - War meine Antwort hilfreich? Klicke Like um es mich wissen zu lassen! 
 - Wurde deine Frage beantwortet? Markiere es als Akzeptierte Lösung 
 - Um mehr zu erfahren, besuche das Shopify Help Center oder den Shopify Blog

Birger
Tourist
7 0 0

Ich habe nur noch diese eine APP eingerichtet

 

Wie kann ich diese deaktivieren? mir wird nur löschen angeboten.

Gabe
Shopify Staff
16357 2587 3853

Du kannst sie gerne löschen und wieder hinzufügen

Gabe | Social Care @ Shopify
 - War meine Antwort hilfreich? Klicke Like um es mich wissen zu lassen! 
 - Wurde deine Frage beantwortet? Markiere es als Akzeptierte Lösung 
 - Um mehr zu erfahren, besuche das Shopify Help Center oder den Shopify Blog