Nc 28.0.0 - csp

Hallo zusammen…

Bin mir nicht ganz sicher, seit wann das Problem auftritt. Meine aber dass es für einiger Zeit funktionierte.

Jedenfalls ist die aktuelle Version 28.0.0 installiert.

Jetzt werde ich mit 2 Fehlern genervt:

Content-Security-Policy: Die Einstellungen der Seite haben das Laden einer Ressource auf data: blockiert (“media-src”).
Content-Security-Policy: Die Einstellungen der Seite haben das Laden einer Ressource auf inline blockiert (“script-src”).

https://sub.meinedomain.de/dist/core-common.js?v=031e6d2e-35

Die verhindern z.B., dass man einen Freigabelink nach Eingabe vom PW nutzen kann, Dauerladeschleife.

Versuche, CSP im Apache Vhost zu deaktivieren scheiterten. Ich finde auch keine Option, das in NC zu konfigurieren.

Hier mal der Header:

default-src ‘none’;base-uri ‘none’;manifest-src ‘self’;script-src ‘nonce-UGN1M3cvYmt1ellJdGNHSjZPUzRJNklIaVo5WGc1OHczcGd5L3lDZUh4MD06Y3FMSGhZL1J3VzQvK1k3K25MNkJjZVJ0NGR4bTEvdEV2ZjVDbmhqelptcz0=’;script-src-elem ‘strict-dynamic’ ‘nonce-UGN1M3cvYmt1ellJdGNHSjZPUzRJNklIaVo5WGc1OHczcGd5L3lDZUh4MD06Y3FMSGhZL1J3VzQvK1k3K25MNkJjZVJ0NGR4bTEvdEV2ZjVDbmhqelptcz0=’;style-src ‘self’ ‘unsafe-inline’;img-src ‘self’ data: blob: https://*.tile.openstreetmap.org;font-src ‘self’ data:;connect-src ‘self’;media-src ‘self’;frame-src ‘self’;frame-ancestors ‘self’;form-action ‘self’

siehe Sharing content via link broke on NC28