laut der Dokumentation von CKEditor müssen wir einige Anpassungen an Ihrer CSP vornehmen, um den Editor zu laden. Wir müssen die folgenden Direktiven hinzufügen oder ändern:
- script-src 'self' 'unsafe-inline' 'unsafe-eval': Erlaubt das Ausführen von JavaScript vom aktuellen Host und von der offiziellen CDN von CKEditor. 'unsafe-inline' und 'unsafe-eval' sind erforderlich, weil CKEditor viele Inline-Skripte verwendet.
- style-src 'self' 'unsafe-inline': Erlaubt das Laden von CSS-Stilen vom aktuellen Host. 'unsafe-inline' ist erforderlich, weil CKEditor einige Inline-Stile im Inhalt verwendet.
- img-src * data: Erlaubt das Anzeigen von Bildern im Editor-Inhalt aus beliebigen Quellen. data: ist erforderlich, weil eingefügte Bilder oft als Base64-kodierte Zeichenketten dargestellt werden.
- frame-src *: Erlaubt das Laden von Medien mit Vorschauen (die <iframe> enthalten).
Unser CSP sollte also ungefähr so aussehen:
Code: Alles auswählen
header("Content-Security-Policy: script-src 'self' 'unsafe-inline' 'unsafe-eval'; object-src 'none'; base-uri 'self'; style-src 'self' 'unsafe-inline'; img-src * data:; frame-src *");
lauf der Homepage benötigt CKEditor ein update auf eine aktuelle Version.
Schönes Wochenende
Ralf