Marketing & Content Hub | Fragen, Tipps & bewährte Methoden

ThomasKujawa
Contributor

Warnung CSP nach Umzug ins EU-Datacenter

Folgenden Hinweis erhalten wir in der Entwicklerkonsole des Browsers:

VM2234:3 [Report Only] Refused to load the script 'https://js-eu1.hubspot.com/web-interactives-embed.js' because it violates the following Content Security Policy directive: "script-src 'self' www.hubspot.com *.hsappstatic.net *.hs-analytics.net *.hs-banner.com *.hsforms.net *.hsleadflows.net *.hs-scripts.com *.hubspotfeedback.com *.usemessages.com js.hubspot.com *.hsadspixel.net *.hscollectedforms.net js-agent.newrelic.com bam.nr-data.net bam-cell.nr-data.net *.google-analytics.com www.googletagmanager.com data: 'unsafe-inline' 'unsafe-eval' blob: connect.facebook.net snap.licdn.com www.gstatic.cn www.gstatic.com www.google.com www.recaptcha.net googleads.g.doubleclick.net www.googleadservices.com". Note that 'script-src-elem' was not explicitly set, so 'script-src' is used as a fallback.

 

Ich kann, wenn ich es richtig gelesen habe, als Starter die Content Security Policy nicht verändern.

 

Wen kann / muss ich informieren, damit das behoben wird?

0 Upvotes
4 Replies 4
ThomasKujawa
Contributor

Warnung CSP nach Umzug ins EU-Datacenter

Ich habe mir jetzt diese CSP report only gebastelt und freue mich auf Hinweise und / oder Korrekturen:

 

default-src 'self';
script-src 'self' *.hsadspixel.net *.hs-analytics.net js.hubspot.com js.hscta.net js-eu1.hscta.net *.hubspot.com *.hsappstatic.net *.usemessages.com *.hs-banner.com *.hubspotusercontent00.net *.hubspotusercontent10.net *.hubspotusercontent20.net *.hubspotusercontent30.net *.hubspotusercontent40.net *.hubspot.net *.hscollectedforms.net *.hsleadflows.net *.hsforms.net *.hsforms.com *.hs-scripts.com *.hubspotfeedback.com feedback.hubapi.com feedback-eu1.hubapi.com js-agent.newrelic.com bam.nr-data.net bam-cell.nr-data.net *.google-analytics.com www.googletagmanager.com data: 'unsafe-inline' 'unsafe-eval' blob: connect.facebook.net snap.licdn.com www.gstatic.cn www.gstatic.com www.google.com www.recaptcha.net googleads.g.doubleclick.net www.googleadservices.com;
  img-src 'self' js.hscta.net js-eu1.hscta.net no-cache.hubspot.com *.hubspot.com *.hubspotusercontent00.net *.hubspotusercontent10.net *.hubspotusercontent20.net *.hubspotusercontent30.net *.hubspotusercontent40.net cdn2.hubspot.net *.hsforms.net *.hsforms.com;
  connect-src 'self' *.hubapi.com js.hscta.net js-eu1.hscta.net *.hubspot.com *.hs-banner.com *.hscollectedforms.net *.hsforms.com;
  frame-src 'self' *.hubspot.com *.hs-sites.com *.hs-sites-eu1.com play.hubspotvideo.com play-eu1.hubspotvideo.com fachkraeftesicherer.de *.hsforms.net *.hsforms.com;
  style-src 'self' *.hubspotusercontent00.net *.hubspotusercontent10.net *.hubspotusercontent20.net *.hubspotusercontent30.net *.hubspotusercontent40.net cdn2.hubspot.net fachkraeftesicherer.de;
  child-src 'self' *.hsforms.com;
  object-src 'none';
  base-uri 'self';
  form-action 'self' forms.hubspot.com;
  frame-ancestors 'self';  
0 Upvotes
ThomasKujawa
Contributor

Warnung CSP nach Umzug ins EU-Datacenter

mmhh. Die KI meint, so etwas sollte aufgrund des Hilfeartikels passen.

 

Content-Security-Policy:
  script-src 'self' *.hsadspixel.net *.hs-analytics.net js.hscta.net js-eu1.hscta.net *.hubspot.com static.hsappstatic.net *.usemessages.com *.hs-banner.com *.hubspotusercontent00.net *.hubspotusercontent10.net *.hubspotusercontent20.net *.hubspotusercontent30.net *.hubspotusercontent40.net *.hubspot.net *.hscollectedforms.net *.hsleadflows.net *.hsforms.net *.hsforms.com *.hs-scripts.com *.hubspotfeedback.com feedback.hubapi.com feedback-eu1.hubapi.com;
  img-src 'self' js.hscta.net js-eu1.hscta.net no-cache.hubspot.com *.hubspot.com *.hubspotusercontent00.net *.hubspotusercontent10.net *.hubspotusercontent20.net *.hubspotusercontent30.net *.hubspotusercontent40.net cdn2.hubspot.net *.hsforms.net *.hsforms.com;
  connect-src 'self' *.hubapi.com js.hscta.net js-eu1.hscta.net *.hubspot.com *.hs-banner.com *.hscollectedforms.net *.hsforms.com;
  frame-src 'self' *.hubspot.com *.hs-sites.com *.hs-sites-eu1.com play.hubspotvideo.com play-eu1.hubspotvideo.com IhreMitHubSpotVerknuepfteDomain *.hsforms.net *.hsforms.com;
  style-src 'self' *.hubspotusercontent00.net *.hubspotusercontent10.net *.hubspotusercontent20.net *.hubspotusercontent30.net *.hubspotusercontent40.net cdn2.hubspot.net IhreMitHubSpotVerknuepfteDomain;
  child-src 'self' *.hsforms.com;

 

Sieht ziemlich wild aus und in einer weiteren Unterhaltung soll ich wohl zu Beginn noch

default-src 'self';

ergänzen und zum Schluss

 

object-src 'none';
  base-uri 'self';
  form-action 'self' forms.hubspot.com;
  frame-ancestors 'self';

Aber was soll bei einem produktiven System schon schiefgehen. 🤔

 

0 Upvotes
karstenkoehler
Hall of Famer | Partner
Hall of Famer | Partner

Warnung CSP nach Umzug ins EU-Datacenter

Hallo @ThomasKujawa,

 

für Einstellungen zur Content Security Policy braucht es den Content Hub Starter (oder höher), da geht meines Wissens kein Weg dran vorbei: https://knowledge.hubspot.com/de/domains-and-urls/ssl-and-domain-security-in-hubspot?hubs_content=kn...

 

Viele Grüße!

Karsten Köhler
HubSpot Freelancer | RevOps & CRM Consultant | Community Hall of Famer

Beratungstermin mit Karsten vereinbaren

 

Did my post help answer your query? Help the community by marking it as a solution.

ThomasKujawa
Contributor

Warnung CSP nach Umzug ins EU-Datacenter

Den Starter haben wir ja.

 

Jetzt muss ich mich durch dieses Zeugs durchfummeln. 😞

0 Upvotes