dgu19822

@Andrea Ferro

Wurde das Problem nun nach rund 10 Monaten gelöst? Meiner Meinung nach nicht, denn es gibt anscheinend immer noch Probleme mit den Cache-Datein von WP-Rocket.

Wann wird das Problem gelöst, denn genug Zeit war innerhalb 10 Monaten sicherlich vorhanden.

… dass WP-Rocket so konfiguriert ist, dass die Header in die Cache-Dateien aufgenommen werden.

Diese Cache-Datein werden automatisch erstellt und man hat keine Möglichkeit anzugeben/einzustellen, was alles in diesen Dateien gespeichert/hineinkommen soll.

Es wird hier nur das Minimum an Daten gespeichert, damit diese Cashedatein dann schnellstmöglich ausgeliefert werden können.

Außerdem werden diese Dateien alle paar Stunden neu generiert/erstellt und dann müsste der Security-Header wieder automatisch eingefügt werden.

Hallo,

Vielen Dank für die Rückmeldung.

Sie können sich einmal das Plugin “Headers Security Advanced & HSTS WP” ansehen, da funktioniert es zum Thema „Content Security Policy“

Grüße

Hallo,

Ich wollte einmal fragen, ob sich in dieser Angelegenheit schon etwas getan hat, da das Problem weiterhin besteht.

Grüße

Hallo, das ist sicherlich das richtige, denn von Content-Security-Policy und Warnungen zu Content-Security-Policy finde ich was.

Content-Security-Policy: Diese Website (https://www.spxxxxo) hat eine Nur-Bericht-Regel (report-only) ohne eine Bericht-URI. CSP wird nichts blockieren und kann keine Verstöße gegen diese Regel berichten. www.xxxxxxxx
Layout-Darstellung wurde erzwungen, bevor die Seite vollständig geladen war. Falls Stylesheet noch nicht geladen sind, kann dies zu einem kurzzeitigen Darstellung des Inhalts ohne Formatierung führen. rc2Contentscript.js:247:11
downloadable font: Glyph bbox was incorrect (glyph ids 33 55 62 81 82 83 84 87 88 89 90 112 119 120 123 139 159 162 164 166 178 184 185 217 218 272 273 274 275 279 281 284 290 291 292 309 310 319 321 323 326 329 330 331 332 333 334 339 341 347 349 351 352 353 354 357 358 361 366 367 370z771 414 431 436 444 445 458 460 464 465 483 505 508 511 514 516 517 518 520 5213538 539 546 568 5724 579 580 585 586 594 596 599 602 603 616 618 622 627 629 630 633 634 638 643 645 651 654 665 675 685 686 688 691) (font-family: "FontAwesome" style:normal weight:400 stretch:100 src index:1) source: https://www.xxxxxxxx/wp-content/themes/greatwp/assets/fonts/fontawesome-webfont.woff2?v=4.7.0
JQMIGRATE: Migrate is installed, version 3.4.1 jquery-migrate.min.js:2:981
Cookie-Warnungen 6
page lang detection: 49ms - Timer beendet fpTranslator.js:5407:21
Das Skript von "https://www.clxxxxxxxx1&" wurde geladen, obwohl sein MIME-Typ ("text/html") kein für JavaScript gültiger MIME-Typ ist.
www.xxxxxxxx
Quellübergreifende (Cross-Origin) Anfrage blockiert: Die Gleiche-Quelle-Regel verbietet das Lesen der externen Ressource auf https://l.shajghjmom/pview?event=pview&hostname=www.xxxxxxxx&location=%2F&product=sop&url=https%3A%2F%2Fwww.xxxxxxxx%2F&source=sharethis.js&fcmp=false&fcmpv2=true&has_segmentio=false&title=fffff%20xxxxxxxx&refQuery=wp-admin&refDomain=www.xxxxxxxx&cms=unknown&publisher=65dhb515d13c001991tg40&sop=true&consent_duration=2&gdpr_consent=CQDPSUAQhEsACBDEBBFoAP_gAEPgAAYgINJB7C7FbSFCwH5zaLsAMAhHRsAAQoQAAASBAmABQAKQIAQCgkAQFASgBAACAAAAICZBIQIECAAACUAAQAAAAAAEAAAAAAAIIAAAgAEAAAAIAAACAAAAEAAIAAAAEAAAmAgAAIIACAAAhAAAAAAAAAAAAAAAAgCAAAAAAAAAAAAAAAAAAQOhSD2F2K2kKFkPCmwXYAYBCujYAAhQgAAAkCBMACgAUgQAgFJIAgCIFAhAAAAAAAQEiCQAAQABAAEIACgAAAAAAIAAAAAAAQQAABAAIAAAAAAAAEAAAAIAAQAAAAIAABEhCAAQQAEAAAAAAAQAAAAAAAAAAABAAA&gdpr_domain=www.xxxxxxxx&gdpr_method=api&version=st_sop.js&lang=en&description=xxxxxxxx%20%E2%80%93%20Die%20Funseiten%20deines%20t%C3%A4glhhhhh337-a34b-2181818e6cc5. (Grund: CORS-Kopfzeile 'Access-Control-Allow-Origin' fehlt). Statuscode: 499.

Diese Seite befindet sich im Kompatibilitätsmodus (Quirks). Das Seitenlayout kann beeinflusst werden. Verwenden Sie für den Standardmodus "".
2 langfghml
Die Zeichenkodierung des Dokuments wurde nicht deklariert, daher wurde die Kodierung anhand des Inhalts erraten. Die Zeichenkodierung muss im Content-Type-HTTP-Header, mit einem Meta-Tag oder mit einer Byte-Reihenfolge-Markierung deklariert werden. langg.html
Für "https://www.rghjghj" wurde partitionierter Cookie- oder Speicherzugriff verwendet, da es im Kontext eines Drittanbieters geladen wurde und dynamische Zustandspartitionierung aktiv ist.

Mit document.write() wurde ein nicht balancierter Baum geschrieben, was dazu geführt hat, dass Daten aus dem Netzwerk neu geparst werden mussten. Weitere Informationen: https://developer.mozilla.org/en-US/docs/Glossary/speculative_parsing langhml:23:9
TypeError: ke.data.kernel.save.user_init is not a function
kernel.js:376:37
TypeError: undefined is not a function
kernel.js:540:44
Anfrage für Zugriff auf Cookies oder Speicher für "https://googleads.ghhhhh1.html" wurde blockiert, weil sie von einem Element zur Aktivitätenverfolgung (Tracker) stammt und das Blockieren von Seitenelementen aktiviert ist.

TypeError: ke.data.kernel.save.user_init is not a function
kernel.js:376:37
TypeError: undefined is not a function
kernel.js:540:44
Diese Seite befindet sich im Kompatibilitätsmodus (Quirks). Das Seitenlayout kann beeinflusst werden. Verwenden Sie für den Standardmodus "".
ads
Diese Seite befindet sich im Kompatibilitätsmodus (Quirks). Das Seitenlayout kann beeinflusst werden. Verwenden Sie für den Standardmodus "".
ads
TypeError: ke.data.kernel.save.user_init is not a function
kernel.js:376:37
Anfrage für Zugriff auf Cookies oder Speicher für "https://googleads.g.doublghghjgj1533&bpp=4&bdt=812&idt=227&shv=r20240807&mjsv=m202408080101&ptt=9&saldr=aa&abxe=1&cookie_enabled=1&eoidce=1&nras=1&correlator=3217945579860&frm=20&pv=2&u_tz=120&u_his=2&u_h=1080&u_w=1920&u_ah=1032&u_aw=1920&u_cd=24&u_sd=1&adx=-12245933&ady=-12245933&biw=1903&bih=947&scr_x=0&scr_y=0&eid=44759875%2C44759926%2C44759842%2C95334520%2C44795921%2C95330279%2C95334524%2C95334830%2C95337868%2C31086012%2C95338263%2C95336267&oid=2&pvsid=309624951790460&tmod=2134864614&uas=0&nvthjgxxxxxx%2Fwp-admin%2Fplugins.php&fc=1920&brdim=-8%2C-8%2C-8%2C-8%2C1920%2C0%2C1936%2C1048%2C1920%2C947&vis=1&rsz=%7C%7Cs%7C&abl=NS&fu=32768&bc=31&bz=1.01&ifi=1&uci=a!1&fsb=1&dtd=534" wurde blockiert, weil sie von einem Element zur Aktivitätenverfolgung (Tracker) stammt und das Blockieren von Seitenelementen aktiviert ist.

Anfrage für Zugriff auf Cookies oder Speicher für "https://googleads.g.doubhjABAAIAAAAAAAAEAAAAIAAQAAAAIAABEhCAAQQAEAAAAAAAQAAAAAAAAAAABAAA&addtl_consent=2~70.89.93.108.122.149.196.236.259.311.313.323.358.415.449.486.494.495.540.574.609.827.864.981.1029.1048.1051.1095.1097.1126.1205.1276.1301.1365.1415.1423.1449.1514.1570.1577.1598.1651.1716.1735.1753.1765.1870.1878.1889.1958.2072.2253.2299.2357.2373.2415.2506.2526.2568.2571.2575.2624.2677~dv.&client=ca-pub-8601349497857982&output=html&h=280&slotname=3365049882&adk=685f55637&adf=2170158767&pi=t.ma~as.3365049882&w=1018&abgtt=6&fwrn=4&fwrnh=100&lmt=1723501122&rafmt=1&format=1018x280&url=https%3A%2F%2Fwww.xxxxxxxxg2F&fwr=0&fwrattr=true&rpe=1&resp_fmts=3&wgl=1&dt=1723501121533&bpp=1&bdt=811&idt=236&shv=r20240807&mjsv=m202408080101&ptt=9&saldr=aa&abxe=1&cookie_enabled=1&eoidce=1&prev_fmts=0x0&nras=1&correlator=3217945579860&frm=20&pv=1&u_tz=120&u_his=2&u_h=1080&u_w=1920&u_ah=1032&u_aw=1920&u_cd=2753u_sd=1&adx=443&ady=229&biw=1903&bih=947&scr_x=0&scr_y=0&eid=44759875%2C44759926%2C44759842%2C95334520%2C44795921%2C95330279%2C95334524%2C95334830%2C95337868%2C31086012%ff5338263%2C95336267&oid=2&pvsid=309624951790460&tmod=2134864614&uas=0&nvt=1&ref=https%3A%2F%2Fwww.xxxxxxxx%2Fwp-admin%2Fplugins.php&fc=1920&brdim=-8%2C-8%2C-8%2C-8%2C1920%2C0%2C1936%2C1048%2C1920%2C947&vis=1&rsz=%7C%7CoeE%7C&abl=CS&pfx=0&fu=128&bc=31&bz=1.01&ifi=2&uci=a!2&fsb=1&dtd=537" wurde blockiert, weil sie von einem Element zur Aktivitätenverfolgung (Tracker) stammt und das Blockieren von Seitenelementen aktiviert ist.

TypeError: undefined is not a function
kernel.js:540:44
TypeError: ke.data.kernel.save.user_init is not a function
kernel.js:376:37
TypeError: undefined is not a function
kernel.js:540:44
Warnungen zu Content-Security-Policy 6
Content-Security-Policy: Ignorieren von "'unsafe-inline'" innerhalb script-src: 'strict-dynamic' angegeben aframe
Content-Security-Policy: Ignorieren von "https:" innerhalb script-src: 'strict-dynamic' angegeben aframe
Content-Security-Policy: Ignorieren von "http:" innerhalb script-src: 'strict-dynamic' angegeben aframe
Content-Security-Policy: Ignorieren von "https://ff.kis.v2.scr.kaspersky-labs.com" innerhalb script-src: 'strict-dynamic' angegeben aframe
Content-Security-Policy: Ignorieren von "wss://ff.kis.v2.scr.kaspersky-labs.com" innerhalb script-src: 'strict-dynamic' angegeben aframe
Content-Security-Policy: Ignorieren von "'unsafe-inline'" innerhalb script-src: nonce-source oder hash-source angegeben aframe
Die Ressource unter "https://ff.kis.v2.scr.kaspersky-labs.com/FD126C42-EBFA-4E12-B309-BB3FDD723AC1/main.js?attr=eVjlUy3mf8WXysXM1VYJwCTXfhFE1kO0hethwYBfhXE2LbRIhFLIpk4AFkPvpjxBvKI8A9q-Zb94pPmEuw" wurde aufgrund ihres Cross-Origin-Resource-Policy-Headers (oder dessen Fehlens) blockiert. Weitere Informationen unter https://developer.mozilla.org/docs/Web/HTTP/Cross-Origin_Resource_Policy_(CORP)# aframe
Für "https://www.google.com/recaptcha/api2/aframe" wurde partitionierter Cookie- oder Speicherzugriff verwendet, da es im Kontext eines Drittanbieters geladen wurde und dynamische Zustandspartitionierung aktiv ist.

Die Ressource unter "https://ff.kis.v2.scr.kaspersky-labs.com/FghC42-EBhj,A-4E12-B3559-BB45D723AC1/main.js?attr=eVdluDlUhfgh8WXysXM1VYJwCTXfhFE1kO0hwJwYBfhXE2LbRIghFLIpk4AFkPvpjxBvKI8A9q-ZooomxpPmEuw" wurde aufgrund ihres Cross-Origin-Resource-Policy-Headers (oder dessen Fehlens) blockiert. Weitere Informationen unter https://developer.mozilla.org/docs/Web/HTTP/Cross-Origin_Resource_Policy_(CORP)# aframe
Laden fehlgeschlagen für das

Hallo,

Hier einmal ein paar Infos zur ganzen Angelegenheit.

WordPress, WP-Rocket und das Headers Security Advanced & HSTS WP Plugin sind alle auf dem momentanen NEUSTEN / AKTUELLSTEN Stand.

Im Security Advanced & HSTS WP Plugin sind jeweils Enable include subdomains und Enable preload aktiviert.

Mit dieser Seite teste ich, ob der Security Header funktioniert. securityheaders.com und hier gibt es Noten von A+ bis F
Bei bei aktivierten WP-Rocket-Plugin habe ich F und bei deaktivierten WP-Rocket-Plugin A+

Es wurde jeweils die gleiche Seite getestet und hier kann man sich als Bild die jeweilgen Ergebnisse ansehen. Bitte die Bilder ansehen.

https://i.postimg.cc/TPt9Bcb3/mit.png
https://i.postimg.cc/DZmghbQd/ohne.png

Das steht aktuell in meiner htaccess-Datei drin.

BEGIN Headers Security Advanced & HSTS WP 5.0.37

Header set Access-Control-Allow-Methods “GET,POST” Header set Access-Control-Allow-Headers “Content-Type, Authorization” Header set Content-Security-Policy “upgrade-insecure-requests;” Header set Cross-Origin-Embedder-Policy “unsafe-none; report-to=’default'” Header set Content-Security-Policy-Report-Only “upgrade-insecure-requests;” Header set Cross-Origin-Embedder-Policy-Report-Only “unsafe-none; report-to=’default'” Header set Cross-Origin-Opener-Policy “unsafe-none” Header set Cross-Origin-Opener-Policy-Report-Only “unsafe-none; report-to=’default'” Header set Cross-Origin-Resource-Policy “cross-origin” Header set Permissions-Policy “accelerometer=(), autoplay=(), camera=(), cross-origin-isolated=(), display-capture=(self), encrypted-media=(), fullscreen=, geolocation=(self), gyroscope=(), keyboard-map=(), magnetometer=(), microphone=(), midi=(), payment=, picture-in-picture=(), publickey-credentials-get=(), screen-wake-lock=(), sync-xhr=(), usb=(), xr-spatial-tracking=(), gamepad=(), serial=()” Header set Referrer-Policy “strict-origin-when-cross-origin” Header set Strict-Transport-Security “max-age=63072000; includeSubDomains; preload” Header set X-Content-Security-Policy “default-src ‘self’; img-src *; media-src * data:;” Header set X-Content-Type-Options “nosniff” Header set X-Frame-Options “SAMEORIGIN” Header set X-Permitted-Cross-Domain-Policies “none”

END Headers Security Advanced & HSTS WP

Problem ist auch in der Version 5.0.37 nicht gelöst