ContentSecurityPolicy korrekt umsetzen ohne dass Matomo gestört wird


#1

Ich habe in der htaccess die Same-Origin-Policy definiert, aber die URL zu meinem Matomo ausgenommen, damit das Script auch ausgeführt wird, wenn der Browser der Policy folgt.:

Header set Content-Security-Policy "default-src 'self' 'unsafe-inline' http://mein.matomo.de" Header set X-Content-Type-Options "nosniff" Header set X-XSS-Protection "1; mode=block" Header set X-Frame-Options "SAMEORIGIN" Header set X-Robots-Tag "index, follow" Header set X-Download-Options "noopen" Header set X-Permitted-Cross-Domain-Policies "none" SetEnv modHeadersAvailable true

In den FAQs von Matomo hier: FAQ von Matomo fand ich den Hinweis, wie ich den piwik.js Script direkt in meine Webseiten einfügen sollte und damit vermeiden kann, dass meine Analyse von einigen Browsern verhindert wird. Zudem wäre dann wohl die Ausnahme in der zweiten Zeile der oben zitierten Header-Defintionen nicht mehr nötig.
Ziemlich weit unten auf dieser FAQ-Seite ist der Tip zu finden: ContentSecurityPolicy
Leider habe ich nicht verstanden, wie ich das nun konkret umsetzen sollte. Zudem wird indirekt auch der Hinweis gegeben, dass dieCSP für Safari, Firefox, Chrome, InternetExploder unterschiedlich ist und da weiß ich nicht, wie das auch noch in der htacces definiert werden muss.

Frage: Wie setze ich den Tipp denn nun am besten um?


(Lukas Winkler) #2

Hallo,

Hast du den verlinkten FAQ gelesen?

https://matomo.org/faq/general/faq_20904/

Dort ist erklärt, wie du um das inline-script herum kommst (einfach gesagt indem du das Tracking-Script in eine extra datei auslagerst)