CINXE.COM

Inline Styles unsicher? von Michael_K, 17.02.2025 20:46 – SELFHTML Forum

<!DOCTYPE html> <html lang="de"> <head> <meta charset="utf-8"> <meta http-equiv="X-UA-Compatible" content="IE=Edge"> <meta name="viewport" content="width=device-width,initial-scale=1,shrink-to-fit=no"> <meta name="description" content="Forum als Ergänzung zum SELFHTML-Wiki und zur Dokumentation SELFHTML "> <meta name="keywords" content="SELFHTML, Forum, SELF-Forum, self"> <meta name="DC.Publisher" content="SELFHTML Forum"> <meta name="DC.Identifier" content="message/show"> <meta name="DC.Language" content="de"> <meta name="application-name" content="SELFHTML | F"> <meta name="msapplication-TileImage" content="/images/s-Logo_kachel_144-60ee68b7173b95bf9b9f20bf731cc2f4.png?vsn=d"> <meta name="msapplication-TileColor" content="#3983ab"> <meta charset="UTF-8" content="IHw4DH8hQDI2KDdyVAdUcAMOMyg7Zj0YsQp9Kx7jgceCao1FIBvad_yB" csrf-param="_csrf_token" method-param="_method" name="csrf-token"> <link rel="author" href="/humans.txt"> <link rel="shortcut icon" href="/favicon.ico" type="image/x-icon" title="SELFHTML Icon"> <link rel="apple-touch-icon" href="/images/s-Logo_60-e32184c74b1d2be9081b4e73162a21ef.png?vsn=d"> <link rel="apple-touch-icon-precomposed" href="/images/s-Logo_60-e32184c74b1d2be9081b4e73162a21ef.png?vsn=d"> <link rel="apple-touch-icon" sizes="76x76" href="/images/s-Logo_76-dc58e3a62d671479accf6a44d0e074dc.png?vsn=d"> <link rel="apple-touch-icon" sizes="120x120" href="/images/s-Logo_120-dbd2a36328e6341491c4a2e286b16e54.png?vsn=d"> <link rel="apple-touch-icon" sizes="152x152" href="/images/s-Logo_152-d7ac893e07c6a36d6c028f659583aa09.png?vsn=d"> <link rel="help" href="/help" title="Hilfe"> <link rel="search" href="https://forum.selfhtml.org/search" title="SELFHTML-Suche"> <link rel="stylesheet" href="/css/app-cfa00d0ae3b0d2d6c08d6aeadb3c1564.css?vsn=d" media="all" title="SELFHTML Forum Stylesheet"> <link rel="alternate" title="Atom-Feed (SELFHTML-Forum)" type="application/atom+xml" href="https://forum.selfhtml.org/self/feeds/atom"> <link rel="alternate" title="RSS-Feed (SELFHTML-Forum)" type="application/rss+xml" href="https://forum.selfhtml.org/self/feeds/rss"> <title>Inline Styles unsicher? von Michael_K, 17.02.2025 20:46 – SELFHTML Forum</title> </head> <body data-moderator="false" data-current-forum="self" data-controller="MessageController" data-action="show" class="messages nested-view forum-self show anonymous " id="message-nested"> <script nonce="d0utsGyKG0oku4URFT19suFmsIgwv1k4nxQLfLMFQLw">document.body.classList.add("js");</script> <header class="cf-top-bar"> <ul class="selflinks"> <li><a href="https://wiki.selfhtml.org/wiki/SELFHTML:Verein">SELFHTML</a></li> <li><a href="//wiki.selfhtml.org/">Wiki</a></li> <li><a href="https://forum.selfhtml.org/">Forum</a></li> <li><a href="https://blog.selfhtml.org/">Blog</a></li> </ul> </header> <ul class="cf-personallinks"> <li id="user-not-signed-in"><img src="/uploads/default_avatar/thumb/missing.png"> nicht angemeldet</li> <li id="optionen-help"> <a href="/help"> <svg width="1792" height="1792" viewBox="0 0 1792 1792" xmlns="http://www.w3.org/2000/svg"><path d="M1008 1200v160q0 14-9 23t-23 9h-160q-14 0-23-9t-9-23v-160q0-14 9-23t23-9h160q14 0 23 9t9 23zm256-496q0 50-15 90t-45.5 69-52 44-59.5 36q-32 18-46.5 28t-26 24-11.5 29v32q0 14-9 23t-23 9h-160q-14 0-23-9t-9-23v-68q0-35 10.5-64.5t24-47.5 39-35.5 41-25.5 44.5-21q53-25 75-43t22-49q0-42-43.5-71.5t-95.5-29.5q-56 0-95 27-29 20-80 83-9 12-25 12-11 0-19-6l-108-82q-10-7-12-20t5-23q122-192 349-192 129 0 238.5 89.5t109.5 214.5zm-368-448q-130 0-248.5 51t-204 136.5-136.5 204-51 248.5 51 248.5 136.5 204 204 136.5 248.5 51 248.5-51 204-136.5 136.5-204 51-248.5-51-248.5-136.5-204-204-136.5-248.5-51zm768 640q0 209-103 385.5t-279.5 279.5-385.5 103-385.5-103-279.5-279.5-103-385.5 103-385.5 279.5-279.5 385.5-103 385.5 103 279.5 279.5 103 385.5z"/></svg> <span class="desc">Hilfe</span> </a> </li> <li id="optionen-my"> <a href="/login?return_to=1818765" rel="nofollow"> <svg width="1792" height="1792" viewBox="0 0 1792 1792" xmlns="http://www.w3.org/2000/svg"><path d="M1312 896q0 26-19 45l-544 544q-19 19-45 19t-45-19-19-45v-288h-448q-26 0-45-19t-19-45v-384q0-26 19-45t45-19h448v-288q0-26 19-45t45-19 45 19l544 544q19 19 19 45zm352-352v704q0 119-84.5 203.5t-203.5 84.5h-320q-13 0-22.5-9.5t-9.5-22.5q0-4-1-20t-.5-26.5 3-23.5 10-19.5 20.5-6.5h320q66 0 113-47t47-113v-704q0-66-47-113t-113-47h-312l-11.5-1-11.5-3-8-5.5-7-9-2-13.5q0-4-1-20t-.5-26.5 3-23.5 10-19.5 20.5-6.5h320q119 0 203.5 84.5t84.5 203.5z"/></svg> <span class="desc">anmelden</span> </a> </li> <li id="optionen-myadmin"> <a href="/registrations/new" rel="nofollow"> <svg width="2048" height="1792" viewBox="0 0 2048 1792" xmlns="http://www.w3.org/2000/svg"><path d="M704 896q-159 0-271.5-112.5t-112.5-271.5 112.5-271.5 271.5-112.5 271.5 112.5 112.5 271.5-112.5 271.5-271.5 112.5zm960 128h352q13 0 22.5 9.5t9.5 22.5v192q0 13-9.5 22.5t-22.5 9.5h-352v352q0 13-9.5 22.5t-22.5 9.5h-192q-13 0-22.5-9.5t-9.5-22.5v-352h-352q-13 0-22.5-9.5t-9.5-22.5v-192q0-13 9.5-22.5t22.5-9.5h352v-352q0-13 9.5-22.5t22.5-9.5h192q13 0 22.5 9.5t9.5 22.5v352zm-736 224q0 52 38 90t90 38h256v238q-68 50-171 50h-874q-121 0-194-69t-73-190q0-53 3.5-103.5t14-109 26.5-108.5 43-97.5 62-81 85.5-53.5 111.5-20q19 0 39 17 79 61 154.5 91.5t164.5 30.5 164.5-30.5 154.5-91.5q20-17 39-17 132 0 217 96h-223q-52 0-90 38t-38 90v192z"/></svg> <span class="desc">Benutzerkonto erstellen</span> </a> </li> </ul> <header class="cf-page-header"> <div class="logo"> <h1> <span>SELFHTML Forum - Ergänzung zur <a href="https://wiki.selfhtml.org">Dokumentation</a></span> <a class="home" href="/"><span>Übersicht</span></a> </h1> <a class="atom" href="https://forum.selfhtml.org/self/feeds/atom" title="Atom-Feed (SELFHTML-Forum)"><img alt="Atom-Feed (SELFHTML-Forum)" src="/images/feed-atom-597d8984f4b7e65486cb1bf0119cb3a1.svg?vsn=d"></a> <a class="rss" href="https://forum.selfhtml.org/self/feeds/rss" title="RSS-Feed (SELFHTML-Forum)"><img alt="RSS-Feed (SELFHTML-Forum)" src="/images/feed-rss-c704218f0d6f5cf652025a2349785fc7.svg?vsn=d"></a> <a class="donate" href="https://wiki.selfhtml.org/wiki/SELFHTML:Verein/Spenden" title="Spenden"><img alt="Spenden" src="/images/donate-545b877a6cf7c3012754feafecb05137.svg?vsn=d"></a> </div> <nav class="quicklinks"> <ul> <li><a href="/self/new">neuer Beitrag</a></li> <li><a href="/">Übersicht</a></li> <li class="cf-dropdown" data-dropdown="yes"> <span class="anchor">Foren</span> <ul class="menu"> <li> <a href="/all">alle Foren</a> <a class="stats" href="/all/stats" title="Statistiken"> <svg version="1.1" xmlns="http://www.w3.org/2000/svg" xmlns:xlink="http://www.w3.org/1999/xlink" x="0" y="0" width="22" height="14" viewBox="0, 0, 22, 14"> <use xlink:href="/images/icons-2a02f859173f882011d80ff7161ff9aa.svg?vsn=d#stats-icon"></use> </svg> </a> </li> <li> <a href="/self">SELFHTML-Forum</a> <a class="stats" href="/self/stats" title="Statistiken"> <svg version="1.1" xmlns="http://www.w3.org/2000/svg" xmlns:xlink="http://www.w3.org/1999/xlink" x="0" y="0" width="22" height="14" viewBox="0, 0, 22, 14"> <use xlink:href="/images/icons-2a02f859173f882011d80ff7161ff9aa.svg?vsn=d#stats-icon"></use> </svg> </a> </li> <li> <a href="/weblog">SELFHTML-Blog</a> <a class="stats" href="/weblog/stats" title="Statistiken"> <svg version="1.1" xmlns="http://www.w3.org/2000/svg" xmlns:xlink="http://www.w3.org/1999/xlink" x="0" y="0" width="22" height="14" viewBox="0, 0, 22, 14"> <use xlink:href="/images/icons-2a02f859173f882011d80ff7161ff9aa.svg?vsn=d#stats-icon"></use> </svg> </a> </li> <li> <a href="/meta">Meta-Forum (read only)</a> <a class="stats" href="/meta/stats" title="Statistiken"> <svg version="1.1" xmlns="http://www.w3.org/2000/svg" xmlns:xlink="http://www.w3.org/1999/xlink" x="0" y="0" width="22" height="14" viewBox="0, 0, 22, 14"> <use xlink:href="/images/icons-2a02f859173f882011d80ff7161ff9aa.svg?vsn=d#stats-icon"></use> </svg> </a> </li> </ul> </li> <li class="cites"> <a href="/cites">Zitatesammlung</a> </li> <li><a href="/search">suchen</a></li> <li><a href="/help">Hilfe</a></li> <li class="search"> <form action="/search" method="get" rel="nofollow"> <input type="hidden" name="search[sections][]" value="1"> <label class="visually-hidden" for="search-term-nav">Suchbegriff</label> <input type="search" id="search-term-nav" placeholder="suchen" name="search[term]"> </form> </li> </ul> </nav> <nav class="subnav cf-button-nav-list"> <ul> <li><a href="/self">SELFHTML-Forum</a></li> <li><a href="/self/2025/feb/17/inline-styles-unsicher/1818765?rm=thread#m1818765">Thread-Ansicht</a></li> <li id="nachricht-feed-atom"><a href="/self/feeds/atom/264579">Atom-Feed</a></li> <li id="nachricht-feed-rss"><a href="/self/feeds/rss/264579">RSS-Feed</a></li> <li id="link-archiv"><a href="/self/archive">archivierte Beiträge</a></li> </ul> </nav> </header> <aside class="cf-motd-list"> <div class="cf-motd"><h3>noch 91 Tage: SELF-Treffen in Mannheim 2025</h3><p>SELFHTML wird 30 Jahre alt! Das wollen wir gebührend feiern! Weitere Informationen und eine Anmeldemöglichkeit gibt es in der <a href="https://forum.selfhtml.org/events/12" rel="nofollow noopener noreferrer">Veranstaltungs-Ankündigung</a>.</p> </div> </aside> <main> <div id="alerts-container"> </div> <div id="content"> <h1> <span class="author block" id="posting-author">Michael_K:</span> <span class="title" id="posting-title">Inline Styles unsicher?</span> </h1> <div class="cf-thread-list"> <article class="cf-thread posting tree " id="264579"> <header class="cf-message-header active " id="tree-m1818765"> <span class="message-icons"> </span> <span class="votes" title="Bewertung: keine Bewertung"> 0 </span> <span class="num-infos"><span class="num-msgs" title="8 Beiträge">8</span> </span> <a href="/self/2025/feb/17/inline-styles-unsicher/1818765#m1818765"> <h2> Inline Styles unsicher? </h2> <div class="details"> <span class="author"> <span class="registered-user "><img alt="" class="avatar" loading="lazy" src="/uploads/default_avatar/thumb/missing.png"> Michael_K</span> </span> <time datetime="2025-02-17T19:46:15"> 17.02.2025 20:46 </time> <ul class="cf-tags-list-thread"> <li class="cf-tag"> css </ul> </div> </a> <div class="details"> </div> </header> <ol><li class="cf-message-answers"><header class="cf-message-header " id="tree-m1818774"> <span class="message-icons"> </span> <span class="votes" title="Bewertung: keine Bewertung"> 0 </span> <a href="/self/2025/feb/17/inline-styles-unsicher/1818774#m1818774"> <div class="details"> <span class="author"> MrMurphy </span> <time datetime="2025-02-18T08:24:58"> 18.02.2025 09:24 </time> </div> </a> <div class="details"> </div> </header> <ol><li class="cf-message-answers"><header class="cf-message-header " id="tree-m1818775"> <span class="message-icons"> </span> <span class="votes" title="Bewertung: keine Bewertung"> 0 </span> <a href="/self/2025/feb/17/inline-styles-unsicher/1818775#m1818775"> <div class="details"> <span class="author"> <span class="registered-user "><img alt="" class="avatar" loading="lazy" src="/uploads/users/avatars/000/000/015/thumb/daisys-auge.png"> Auge</span> </span> <time datetime="2025-02-18T09:00:55"> 18.02.2025 10:00 </time> <ul class="cf-tags-list-thread"> <li class="cf-tag"> css <li class="cf-tag"> sicherheit </ul> </div> </a> <div class="details"> </div> </header> <ol><li class="cf-message-answers"><header class="cf-message-header " id="tree-m1818777"> <span class="message-icons"> </span> <span class="votes" title="Bewertung: keine Bewertung"> 0 </span> <a href="/self/2025/feb/17/inline-styles-unsicher/1818777#m1818777"> <div class="details"> <span class="author"> <span class="registered-user original-poster"><img alt="" class="avatar" loading="lazy" src="/uploads/default_avatar/thumb/missing.png"> Michael_K</span> </span> <time datetime="2025-02-18T10:28:29"> 18.02.2025 11:28 </time> </div> </a> <div class="details"> </div> </header> <ol><li class="cf-message-answers"><header class="cf-message-header " id="tree-m1818778"> <span class="message-icons"> </span> <span class="votes" title="Bewertung: keine Bewertung"> 0 </span> <a href="/self/2025/feb/17/inline-styles-unsicher/1818778#m1818778"> <div class="details"> <span class="author"> <span class="registered-user "><img alt="" class="avatar" loading="lazy" src="/uploads/default_avatar/thumb/missing.png"> Felix Riesterer</span> </span> <time datetime="2025-02-18T11:26:02"> 18.02.2025 12:26 </time> </div> </a> <div class="details"> </div> </header> </li></ol></li></ol></li></ol></li><li class="cf-message-answers"><header class="cf-message-header " id="tree-m1818779"> <span class="message-icons"> </span> <span class="votes" title="Bewertung: keine Bewertung"> 0 </span> <a href="/self/2025/feb/17/inline-styles-unsicher/1818779#m1818779"> <div class="details"> <span class="author"> <span class="registered-user "><img alt="" class="avatar" loading="lazy" src="/uploads/default_avatar/thumb/missing.png"> Felix Riesterer</span> </span> <time datetime="2025-02-18T11:35:19"> 18.02.2025 12:35 </time> </div> </a> <div class="details"> </div> </header> </li><li class="cf-message-answers"><header class="cf-message-header " id="tree-m1818941"> <span class="message-icons"> </span> <span class="votes" title="Bewertung: keine Bewertung"> 0 </span> <a href="/self/2025/feb/17/inline-styles-unsicher/1818941#m1818941"> <div class="details"> <span class="author"> <span class="registered-user "><img alt="" class="avatar" loading="lazy" src="/uploads/users/avatars/000/003/972/thumb/em34_leuchtbild_rund.png"> Julius</span> </span> <time datetime="2025-02-19T16:20:03"> 19.02.2025 17:20 </time> </div> </a> <div class="details"> </div> </header> </li><li class="cf-message-answers"><header class="cf-message-header " id="tree-m1818945"> <span class="message-icons"> </span> <span class="votes" title="Bewertung: keine Bewertung"> 0 </span> <a href="/self/2025/feb/17/inline-styles-unsicher/1818945#m1818945"> <div class="details"> <span class="author"> <span class="registered-user "><img alt="" class="avatar" loading="lazy" src="/uploads/default_avatar/thumb/missing.png"> Hörnchen</span> </span> <time datetime="2025-02-20T15:33:04"> 20.02.2025 16:33 </time> <ul class="cf-tags-list-thread"> <li class="cf-tag"> css <li class="cf-tag"> sicherheit </ul> </div> </a> <div class="details"> </div> </header> </li></ol> </article> </div> <div> <article class="cf-thread-nested cf-thread-nested-root "> <div class="posting-nested cf-thread-message h-entry active"> <div class="posting-header"> <header class="cf-message-header " id="m1818765"> <a class="cf-thread-forum-plate" href="/self">SELF-Forum</a> <h2> <a href="/self/2025/feb/17/inline-styles-unsicher/1818765#m1818765">Inline Styles unsicher?</a> </h2> <div class="details"> <span class="author"> <a class="user-link" href="/users/10688" title="Benutzer Michael_K"><span class="registered-user "><img alt="" class="avatar" loading="lazy" src="/uploads/default_avatar/thumb/missing.png"> Michael_K</span></a> </span> <time datetime="2025-02-17T19:46:15"> <a href="/self/2025/feb/17/inline-styles-unsicher/1818765#m1818765">17.02.2025 20:46</a> </time> <ul class="cf-tags-list-thread"> <li class="cf-tag"> <a href="/tags/css">css</a></li> </ul> </div> <div class="details"> </div> </header> <div class="cf-voting-area top"> <span class="votes" title="Bewertung: keine Bewertung"> – </span> <a href="https://wiki.selfhtml.org/wiki/SELFHTML:Forum/Bewertungsregeln" class="infos"> <span>Informationen zu den Bewertungsregeln</span> </a> </div> </div> <div class="cf-posting-content e-content"> <p>Hallo,</p> <p>sofern ein HTML-String/Code-Fragment aus dritter (unbekannter) Quelle softwaretechnisch übernommen wird, ist stets sicherzustellen, dass die Daten vor Einbindung in die eigene Umgebung/Webseite &quot;gesäubert&quot; werden, um Schadcode fernzuhalten. Sanitizer können aber nicht davor schützen, dass Inline-Styles böswillig den Nutzer optisch täuschen oder etwas vorgaukeln.</p> <p>Sollte man dann deshalb gleich die ganzen Inline-Style aus dem HTHML-Code aus dritter Quelle entfernen? Mit den CSP-Einstellungen für style-src unsafe-inline verbieten ist ja nur sinnvoll, wenn man im eigenen HTML nicht auch Inline-Styles verwendet (aus welchen Gründen auch immer) und nicht auf iframes etc zurückgreifen kann.</p> <p>Gibt es hierzu irgendwo Erläuterungen, die das Problem verständlich skizzieren? Gibt es ggfs. auch eine Web-Seite, die veranschaulicht, wie sich die unterschiedlichen CSP setting für style-src auf die Darstellung auswirken? Oder kann man das gar im Browser für eine Webseite simulieren (ich habe keine Einstellung in den Entwicklertools gefunden)?</p> <p>Mir ist das Thema Inline-Styles und die Problematik bekannt, aber ich würde gern dazu eine Demo geben. (... ich könnte natürlich auch am eigenen Server so etwas basteln, aber das kostet zuviel Zeit).</p> <p>Gruss Michael</p> </div> <div class="posting-footer"> <div class="button-container"> <div class="message-links"> <div class="controls"> <a class="cf-btn" data-action="answer" href="/self/2025/feb/17/inline-styles-unsicher/1818765/new" rel="nofollow">Antwort verfassen</a> <a class="cf-btn" data-action="answer" data-quote="yes" href="/self/2025/feb/17/inline-styles-unsicher/1818765/new?with_quote=yes" rel="nofollow">Antwort mit Zitat verfassen</a> <a class="cf-btn" href="/self/2025/feb/17/inline-styles-unsicher/1818765/flag" rel="nofollow">Beitrag melden</a> </div> </div> <div class="cf-voting-area bottom"> <form action="/self/2025/feb/17/inline-styles-unsicher/1818765/downvote" class="cf-inline-form" method="post"><input name="_csrf_token" type="hidden" value="IHw4DH8hQDI2KDdyVAdUcAMOMyg7Zj0YsQp9Kx7jgceCao1FIBvad_yB"><input type="hidden" name="f" value="self"><input type="hidden" name="r" value="message"><button class="vote-button vote-down " title="negativ bewerten" type="submit" disabled><span>negativ bewerten</span></button></form> <span class="votes" title="Bewertung: keine Bewertung"> – </span> <form action="/self/2025/feb/17/inline-styles-unsicher/1818765/upvote" class="cf-inline-form" method="post"><input name="_csrf_token" type="hidden" value="IHw4DH8hQDI2KDdyVAdUcAMOMyg7Zj0YsQp9Kx7jgceCao1FIBvad_yB"><input type="hidden" name="f" value="self"><input type="hidden" name="r" value="message"><button class="vote-button vote-up " title="positiv bewerten" type="submit" disabled><span>positiv bewerten</span></button></form> <a href="https://wiki.selfhtml.org/wiki/SELFHTML:Forum/Bewertungsregeln" class="infos"> <span>Informationen zu den Bewertungsregeln</span> </a> </div> </div> <nav class="forum-links"> <ul> <li><a href="/">Übersicht</a></li> <li><a href="/all">alle Foren</a></li> <li><a href="/self">SELFHTML-Forum</a></li> <li><a href="/login?return_to=1818765" rel="nofollow">anmelden</a></li> <li><a href="/registrations/new" rel="nofollow">Benutzerkonto erstellen</a></li> <li><a href="#tree-m1818765">Beitrag im Thread-Baum</a></li> </ul> </nav> </div> </div> <ol class="answers"> <li> <div class="posting-nested cf-thread-message h-entry "> <div class="posting-header"> <header class="cf-message-header " id="m1818774"> <h3> <a href="/self/2025/feb/17/inline-styles-unsicher/1818774#m1818774">Inline Styles unsicher?</a> </h3> <div class="details"> <span class="author"> MrMurphy </span> <time datetime="2025-02-18T08:24:58"> <a href="/self/2025/feb/17/inline-styles-unsicher/1818774#m1818774">18.02.2025 09:24</a> </time> <ul class="cf-tags-list-thread"> <li class="cf-tag"> <a href="/tags/css">css</a></li> </ul> </div> <div class="details"> </div> </header> <div class="cf-voting-area top"> <span class="votes" title="Bewertung: keine Bewertung"> – </span> <a href="https://wiki.selfhtml.org/wiki/SELFHTML:Forum/Bewertungsregeln" class="infos"> <span>Informationen zu den Bewertungsregeln</span> </a> </div> </div> <div class="cf-posting-content e-content"> <p>Kann es sein das du eine &quot;Gefahr&quot; siehst, die es überhaupt nicht gibt?</p> <p>Deine Angaben kann ich nicht nachvollziehen. Meinst du wirklich HTML und CSS? Die bilden ganz allgemein und grob eine Seitenbeschreibung. Da kann kein Schadcode enthalten sein, weder inline noch inside noch extern.</p> <p>Oder meinst du Javascript, PHP und Konsorten?</p> <p>Wenn du (aus welchen unerfindlichen Gründen auch immer) unsichere Seiten testen willst kannst du als eine Möglichkeit einfach einen virtuellen Rechner ohne Außenverbindung aufsetzen. Da braucht es keine speziellen Browsereigenschaften.</p> <p>Vielleicht habe ich dich auch komplett falsch verstanden.</p> </div> <div class="posting-footer"> <div class="button-container"> <div class="message-links"> <div class="controls"> <a class="cf-btn" data-action="answer" href="/self/2025/feb/17/inline-styles-unsicher/1818774/new" rel="nofollow">Antwort verfassen</a> <a class="cf-btn" data-action="answer" data-quote="yes" href="/self/2025/feb/17/inline-styles-unsicher/1818774/new?with_quote=yes" rel="nofollow">Antwort mit Zitat verfassen</a> <a class="cf-btn" href="/self/2025/feb/17/inline-styles-unsicher/1818774/flag" rel="nofollow">Beitrag melden</a> </div> </div> <div class="cf-voting-area bottom"> <form action="/self/2025/feb/17/inline-styles-unsicher/1818774/downvote" class="cf-inline-form" method="post"><input name="_csrf_token" type="hidden" value="IHw4DH8hQDI2KDdyVAdUcAMOMyg7Zj0YsQp9Kx7jgceCao1FIBvad_yB"><input type="hidden" name="f" value="self"><input type="hidden" name="r" value="message"><button class="vote-button vote-down " title="negativ bewerten" type="submit" disabled><span>negativ bewerten</span></button></form> <span class="votes" title="Bewertung: keine Bewertung"> – </span> <form action="/self/2025/feb/17/inline-styles-unsicher/1818774/upvote" class="cf-inline-form" method="post"><input name="_csrf_token" type="hidden" value="IHw4DH8hQDI2KDdyVAdUcAMOMyg7Zj0YsQp9Kx7jgceCao1FIBvad_yB"><input type="hidden" name="f" value="self"><input type="hidden" name="r" value="message"><button class="vote-button vote-up " title="positiv bewerten" type="submit" disabled><span>positiv bewerten</span></button></form> <a href="https://wiki.selfhtml.org/wiki/SELFHTML:Forum/Bewertungsregeln" class="infos"> <span>Informationen zu den Bewertungsregeln</span> </a> </div> </div> <nav class="forum-links"> <ul> <li><a href="/">Übersicht</a></li> <li><a href="/all">alle Foren</a></li> <li><a href="/self">SELFHTML-Forum</a></li> <li><a href="/login?return_to=1818774" rel="nofollow">anmelden</a></li> <li><a href="/registrations/new" rel="nofollow">Benutzerkonto erstellen</a></li> <li><a href="#tree-m1818774">Beitrag im Thread-Baum</a></li> </ul> </nav> </div> </div> <ol class="answers"> <li> <div class="posting-nested cf-thread-message h-entry "> <div class="posting-header"> <header class="cf-message-header " id="m1818775"> <h3> <a href="/self/2025/feb/17/inline-styles-unsicher/1818775#m1818775">Inline Styles unsicher?</a> </h3> <div class="details"> <span class="author"> <a class="user-link" href="/users/15" title="Benutzer Auge"><span class="registered-user "><img alt="" class="avatar" loading="lazy" src="/uploads/users/avatars/000/000/015/thumb/daisys-auge.png"> Auge</span></a> </span> <time datetime="2025-02-18T09:00:55"> <a href="/self/2025/feb/17/inline-styles-unsicher/1818775#m1818775">18.02.2025 10:00</a> </time> <ul class="cf-tags-list-thread"> <li class="cf-tag"> <a href="/tags/css">css</a></li> <li class="cf-tag"> <a href="/tags/sicherheit">sicherheit</a></li> </ul> </div> <div class="details"> </div> </header> <div class="cf-voting-area top"> <span class="votes" title="Bewertung: keine Bewertung"> – </span> <a href="https://wiki.selfhtml.org/wiki/SELFHTML:Forum/Bewertungsregeln" class="infos"> <span>Informationen zu den Bewertungsregeln</span> </a> </div> </div> <div class="cf-posting-content e-content"> <p>Hallo</p> <blockquote> <p>Kann es sein das du eine &quot;Gefahr&quot; siehst, die es überhaupt nicht gibt?</p> <p>…</p> <p>Vielleicht habe ich dich auch komplett falsch verstanden.</p> </blockquote> <p>Soweit ich ihn verstanden habe, geht es um willentlich aus externen Quellen hinzugeladenen HTML-Code. Bei dem kann, so die Befürchtung, über Inline-CSS ein falscher Eindruck über Herkunft und Funktion beim Seitenbesucher erzeugt werden.</p> <p>Falls Michael doch etwas anderes meint, muss er das genauer ausführen.</p> <p>Tschö, Auge</p> <div class="signature">-- <br> „Habe ich mir das nur eingebildet, oder kann der kleine Hund wirklich sprechen?“ fragte Schnapper. „Er behauptet, nicht dazu imstande zu sein“ erwiderte Victor. Schnapper zögerte (…) „Nun …“ sagte er schließlich, „ich schätze, er muss es am besten wissen.“ Terry Prattchett, Voll im Bilde </div> </div> <div class="posting-footer"> <div class="button-container"> <div class="message-links"> <div class="controls"> <a class="cf-btn" data-action="answer" href="/self/2025/feb/17/inline-styles-unsicher/1818775/new" rel="nofollow">Antwort verfassen</a> <a class="cf-btn" data-action="answer" data-quote="yes" href="/self/2025/feb/17/inline-styles-unsicher/1818775/new?with_quote=yes" rel="nofollow">Antwort mit Zitat verfassen</a> <a class="cf-btn" href="/self/2025/feb/17/inline-styles-unsicher/1818775/flag" rel="nofollow">Beitrag melden</a> </div> </div> <div class="cf-voting-area bottom"> <form action="/self/2025/feb/17/inline-styles-unsicher/1818775/downvote" class="cf-inline-form" method="post"><input name="_csrf_token" type="hidden" value="IHw4DH8hQDI2KDdyVAdUcAMOMyg7Zj0YsQp9Kx7jgceCao1FIBvad_yB"><input type="hidden" name="f" value="self"><input type="hidden" name="r" value="message"><button class="vote-button vote-down " title="negativ bewerten" type="submit" disabled><span>negativ bewerten</span></button></form> <span class="votes" title="Bewertung: keine Bewertung"> – </span> <form action="/self/2025/feb/17/inline-styles-unsicher/1818775/upvote" class="cf-inline-form" method="post"><input name="_csrf_token" type="hidden" value="IHw4DH8hQDI2KDdyVAdUcAMOMyg7Zj0YsQp9Kx7jgceCao1FIBvad_yB"><input type="hidden" name="f" value="self"><input type="hidden" name="r" value="message"><button class="vote-button vote-up " title="positiv bewerten" type="submit" disabled><span>positiv bewerten</span></button></form> <a href="https://wiki.selfhtml.org/wiki/SELFHTML:Forum/Bewertungsregeln" class="infos"> <span>Informationen zu den Bewertungsregeln</span> </a> </div> </div> <nav class="forum-links"> <ul> <li><a href="/">Übersicht</a></li> <li><a href="/all">alle Foren</a></li> <li><a href="/self">SELFHTML-Forum</a></li> <li><a href="/login?return_to=1818775" rel="nofollow">anmelden</a></li> <li><a href="/registrations/new" rel="nofollow">Benutzerkonto erstellen</a></li> <li><a href="#tree-m1818775">Beitrag im Thread-Baum</a></li> </ul> </nav> </div> </div> <ol class="answers"> <li> <div class="posting-nested cf-thread-message h-entry "> <div class="posting-header"> <header class="cf-message-header " id="m1818777"> <h3> <a href="/self/2025/feb/17/inline-styles-unsicher/1818777#m1818777">Inline Styles unsicher?</a> </h3> <div class="details"> <span class="author"> <a class="user-link" href="/users/10688" title="Benutzer Michael_K"><span class="registered-user original-poster"><img alt="" class="avatar" loading="lazy" src="/uploads/default_avatar/thumb/missing.png"> Michael_K</span></a> </span> <time datetime="2025-02-18T10:28:29"> <a href="/self/2025/feb/17/inline-styles-unsicher/1818777#m1818777">18.02.2025 11:28</a> </time> <ul class="cf-tags-list-thread"> <li class="cf-tag"> <a href="/tags/css">css</a></li> <li class="cf-tag"> <a href="/tags/sicherheit">sicherheit</a></li> </ul> </div> <div class="details"> </div> </header> <div class="cf-voting-area top"> <span class="votes" title="Bewertung: keine Bewertung"> – </span> <a href="https://wiki.selfhtml.org/wiki/SELFHTML:Forum/Bewertungsregeln" class="infos"> <span>Informationen zu den Bewertungsregeln</span> </a> </div> </div> <div class="cf-posting-content e-content"> <p>Hallo,</p> <blockquote> <p>Soweit ich ihn verstanden habe, geht es um willentlich aus externen Quellen hinzugeladenen HTML-Code. Bei dem kann, so die Befürchtung, über Inline-CSS ein falscher Eindruck über Herkunft und Funktion beim Seitenbesucher erzeugt werden.</p> </blockquote> <p>Genau darum geht es. Mit viel Geschick kann dem Nutzer etwas anderes vorgetäuscht werden und somit für Phishing &amp; Co misbraucht werden. (Hinweis: Die CSP im selfhtml.org header erlauben ja auch explizit unsafe-inline CSS).</p> <p>Gruss Michael</p> </div> <div class="posting-footer"> <div class="button-container"> <div class="message-links"> <div class="controls"> <a class="cf-btn" data-action="answer" href="/self/2025/feb/17/inline-styles-unsicher/1818777/new" rel="nofollow">Antwort verfassen</a> <a class="cf-btn" data-action="answer" data-quote="yes" href="/self/2025/feb/17/inline-styles-unsicher/1818777/new?with_quote=yes" rel="nofollow">Antwort mit Zitat verfassen</a> <a class="cf-btn" href="/self/2025/feb/17/inline-styles-unsicher/1818777/flag" rel="nofollow">Beitrag melden</a> </div> </div> <div class="cf-voting-area bottom"> <form action="/self/2025/feb/17/inline-styles-unsicher/1818777/downvote" class="cf-inline-form" method="post"><input name="_csrf_token" type="hidden" value="IHw4DH8hQDI2KDdyVAdUcAMOMyg7Zj0YsQp9Kx7jgceCao1FIBvad_yB"><input type="hidden" name="f" value="self"><input type="hidden" name="r" value="message"><button class="vote-button vote-down " title="negativ bewerten" type="submit" disabled><span>negativ bewerten</span></button></form> <span class="votes" title="Bewertung: keine Bewertung"> – </span> <form action="/self/2025/feb/17/inline-styles-unsicher/1818777/upvote" class="cf-inline-form" method="post"><input name="_csrf_token" type="hidden" value="IHw4DH8hQDI2KDdyVAdUcAMOMyg7Zj0YsQp9Kx7jgceCao1FIBvad_yB"><input type="hidden" name="f" value="self"><input type="hidden" name="r" value="message"><button class="vote-button vote-up " title="positiv bewerten" type="submit" disabled><span>positiv bewerten</span></button></form> <a href="https://wiki.selfhtml.org/wiki/SELFHTML:Forum/Bewertungsregeln" class="infos"> <span>Informationen zu den Bewertungsregeln</span> </a> </div> </div> <nav class="forum-links"> <ul> <li><a href="/">Übersicht</a></li> <li><a href="/all">alle Foren</a></li> <li><a href="/self">SELFHTML-Forum</a></li> <li><a href="/login?return_to=1818777" rel="nofollow">anmelden</a></li> <li><a href="/registrations/new" rel="nofollow">Benutzerkonto erstellen</a></li> <li><a href="#tree-m1818777">Beitrag im Thread-Baum</a></li> </ul> </nav> </div> </div> <ol class="answers"> <li> <div class="posting-nested cf-thread-message h-entry "> <div class="posting-header"> <header class="cf-message-header " id="m1818778"> <h3> <a href="/self/2025/feb/17/inline-styles-unsicher/1818778#m1818778">Inline Styles unsicher?</a> </h3> <div class="details"> <span class="author"> <a class="user-link" href="/users/243" title="Benutzer Felix Riesterer"><span class="registered-user "><img alt="" class="avatar" loading="lazy" src="/uploads/default_avatar/thumb/missing.png"> Felix Riesterer</span></a> </span> <span class="author-infos"> <a class="author-homepage" href="https://felix-riesterer.de" rel="nofollow"> <span>Homepage des Autors</span> <svg width="22" height="14" viewBox="0 0 1792 1792" xmlns="http://www.w3.org/2000/svg"><use xlink:href="/images/icons-2a02f859173f882011d80ff7161ff9aa.svg?vsn=d#svg-link"></use></svg> </a> </span> <time datetime="2025-02-18T11:26:02"> <a href="/self/2025/feb/17/inline-styles-unsicher/1818778#m1818778">18.02.2025 12:26</a> </time> <ul class="cf-tags-list-thread"> <li class="cf-tag"> <a href="/tags/css">css</a></li> <li class="cf-tag"> <a href="/tags/sicherheit">sicherheit</a></li> </ul> </div> <div class="details"> </div> </header> <div class="cf-voting-area top"> <span class="votes" title="Bewertung: keine Bewertung"> – </span> <a href="https://wiki.selfhtml.org/wiki/SELFHTML:Forum/Bewertungsregeln" class="infos"> <span>Informationen zu den Bewertungsregeln</span> </a> </div> </div> <div class="cf-posting-content e-content"> <p>Lieber Michael_K,</p> <blockquote> <p>(Hinweis: Die CSP im selfhtml.org header erlauben ja auch explizit unsafe-inline CSS).</p> </blockquote> <p>und von wo wird dieses „unsafe-inline CCS“ ausnahmslos geladen? Richtig, von einer SELFHTML-Subdomain. Es ist also mitnichten ein Sicherheitsproblem. Würden unsere Header strenger eingestellt, würden die Wiki-Beispiele mit entsprechenden Features nicht mehr funktionieren. Will man das?</p> <p>Liebe Grüße</p> <p>Felix Riesterer</p> </div> <div class="posting-footer"> <div class="button-container"> <div class="message-links"> <div class="controls"> <a class="cf-btn" data-action="answer" href="/self/2025/feb/17/inline-styles-unsicher/1818778/new" rel="nofollow">Antwort verfassen</a> <a class="cf-btn" data-action="answer" data-quote="yes" href="/self/2025/feb/17/inline-styles-unsicher/1818778/new?with_quote=yes" rel="nofollow">Antwort mit Zitat verfassen</a> <a class="cf-btn" href="/self/2025/feb/17/inline-styles-unsicher/1818778/flag" rel="nofollow">Beitrag melden</a> </div> </div> <div class="cf-voting-area bottom"> <form action="/self/2025/feb/17/inline-styles-unsicher/1818778/downvote" class="cf-inline-form" method="post"><input name="_csrf_token" type="hidden" value="IHw4DH8hQDI2KDdyVAdUcAMOMyg7Zj0YsQp9Kx7jgceCao1FIBvad_yB"><input type="hidden" name="f" value="self"><input type="hidden" name="r" value="message"><button class="vote-button vote-down " title="negativ bewerten" type="submit" disabled><span>negativ bewerten</span></button></form> <span class="votes" title="Bewertung: keine Bewertung"> – </span> <form action="/self/2025/feb/17/inline-styles-unsicher/1818778/upvote" class="cf-inline-form" method="post"><input name="_csrf_token" type="hidden" value="IHw4DH8hQDI2KDdyVAdUcAMOMyg7Zj0YsQp9Kx7jgceCao1FIBvad_yB"><input type="hidden" name="f" value="self"><input type="hidden" name="r" value="message"><button class="vote-button vote-up " title="positiv bewerten" type="submit" disabled><span>positiv bewerten</span></button></form> <a href="https://wiki.selfhtml.org/wiki/SELFHTML:Forum/Bewertungsregeln" class="infos"> <span>Informationen zu den Bewertungsregeln</span> </a> </div> </div> <nav class="forum-links"> <ul> <li><a href="/">Übersicht</a></li> <li><a href="/all">alle Foren</a></li> <li><a href="/self">SELFHTML-Forum</a></li> <li><a href="/login?return_to=1818778" rel="nofollow">anmelden</a></li> <li><a href="/registrations/new" rel="nofollow">Benutzerkonto erstellen</a></li> <li><a href="#tree-m1818778">Beitrag im Thread-Baum</a></li> </ul> </nav> </div> </div> </li> </ol> </li> </ol> </li> </ol> </li> <li> <div class="posting-nested cf-thread-message h-entry "> <div class="posting-header"> <header class="cf-message-header " id="m1818779"> <h3> <a href="/self/2025/feb/17/inline-styles-unsicher/1818779#m1818779">Inline Styles unsicher?</a> </h3> <div class="details"> <span class="author"> <a class="user-link" href="/users/243" title="Benutzer Felix Riesterer"><span class="registered-user "><img alt="" class="avatar" loading="lazy" src="/uploads/default_avatar/thumb/missing.png"> Felix Riesterer</span></a> </span> <span class="author-infos"> <a class="author-homepage" href="https://felix-riesterer.de" rel="nofollow"> <span>Homepage des Autors</span> <svg width="22" height="14" viewBox="0 0 1792 1792" xmlns="http://www.w3.org/2000/svg"><use xlink:href="/images/icons-2a02f859173f882011d80ff7161ff9aa.svg?vsn=d#svg-link"></use></svg> </a> </span> <time datetime="2025-02-18T11:35:19"> <a href="/self/2025/feb/17/inline-styles-unsicher/1818779#m1818779">18.02.2025 12:35</a> </time> <ul class="cf-tags-list-thread"> <li class="cf-tag"> <a href="/tags/css">css</a></li> </ul> </div> <div class="details"> </div> </header> <div class="cf-voting-area top"> <span class="votes" title="Bewertung: keine Bewertung"> – </span> <a href="https://wiki.selfhtml.org/wiki/SELFHTML:Forum/Bewertungsregeln" class="infos"> <span>Informationen zu den Bewertungsregeln</span> </a> </div> </div> <div class="cf-posting-content e-content"> <p>Lieber Michael_K,</p> <blockquote> <p>sofern ein HTML-String/Code-Fragment aus dritter (unbekannter) Quelle softwaretechnisch übernommen wird,</p> </blockquote> <p>bitte beschreibe das Szenario hinreichend genau, bei dem der String-Wert von Quelle Q zu Ziel Z „übernommen“ wird. Wenn Du das nicht präzisierst, ist der Rest der Debatte sinnlos.</p> <blockquote> <p>ist stets sicherzustellen, dass die Daten vor Einbindung in die eigene Umgebung/Webseite &quot;gesäubert&quot; werden, um Schadcode fernzuhalten.</p> </blockquote> <p>Was genau ist mit „Schadcode“ gemeint? Reden wir von manipulierten Daten, die das System des Seitenbesuchers durch dort ungepatchte Lücken angreifen? Oder reden wir von manipulierten Daten, die dafür sorgen, dass ein Besucher auf dem Webserver plötzlich Dinge tun kann, weil das verwendete CMS/Blog/whatever dadurch angegriffen wird?</p> <blockquote> <p>Sanitizer können aber nicht davor schützen, dass Inline-Styles böswillig den Nutzer optisch täuschen oder etwas vorgaukeln.</p> </blockquote> <p>Das ist in meinen Augen auch nicht die Aufgabe von Sanitizern, sondern sicherzustellen, dass die zu verarbeitenden Daten (Du nennst sie „HTML-String/Code-Fragment“) das System selbst nicht stören oder gar gefährden. Optische Effekte für Seitenbesucher und deren Wahrnehmung ist nicht das Problem, für das Sanitizer entwickelt werden.</p> <blockquote> <p>Sollte man dann deshalb gleich die ganzen Inline-Style aus dem HTHML-Code aus dritter Quelle entfernen?</p> </blockquote> <p>Hier ist wieder das oben von mir eingeforderte Szenario wichtig, um eine sinnvolle Debatte führen zu können.</p> <blockquote> <p>Gibt es hierzu irgendwo Erläuterungen, die das Problem verständlich skizzieren?</p> </blockquote> <p>Das Problem ist nicht klar, weil Du so allgemein formulierst, dass zumindest ich Dir so nicht helfen kann.</p> <p>Liebe Grüße</p> <p>Felix Riesterer</p> </div> <div class="posting-footer"> <div class="button-container"> <div class="message-links"> <div class="controls"> <a class="cf-btn" data-action="answer" href="/self/2025/feb/17/inline-styles-unsicher/1818779/new" rel="nofollow">Antwort verfassen</a> <a class="cf-btn" data-action="answer" data-quote="yes" href="/self/2025/feb/17/inline-styles-unsicher/1818779/new?with_quote=yes" rel="nofollow">Antwort mit Zitat verfassen</a> <a class="cf-btn" href="/self/2025/feb/17/inline-styles-unsicher/1818779/flag" rel="nofollow">Beitrag melden</a> </div> </div> <div class="cf-voting-area bottom"> <form action="/self/2025/feb/17/inline-styles-unsicher/1818779/downvote" class="cf-inline-form" method="post"><input name="_csrf_token" type="hidden" value="IHw4DH8hQDI2KDdyVAdUcAMOMyg7Zj0YsQp9Kx7jgceCao1FIBvad_yB"><input type="hidden" name="f" value="self"><input type="hidden" name="r" value="message"><button class="vote-button vote-down " title="negativ bewerten" type="submit" disabled><span>negativ bewerten</span></button></form> <span class="votes" title="Bewertung: keine Bewertung"> – </span> <form action="/self/2025/feb/17/inline-styles-unsicher/1818779/upvote" class="cf-inline-form" method="post"><input name="_csrf_token" type="hidden" value="IHw4DH8hQDI2KDdyVAdUcAMOMyg7Zj0YsQp9Kx7jgceCao1FIBvad_yB"><input type="hidden" name="f" value="self"><input type="hidden" name="r" value="message"><button class="vote-button vote-up " title="positiv bewerten" type="submit" disabled><span>positiv bewerten</span></button></form> <a href="https://wiki.selfhtml.org/wiki/SELFHTML:Forum/Bewertungsregeln" class="infos"> <span>Informationen zu den Bewertungsregeln</span> </a> </div> </div> <nav class="forum-links"> <ul> <li><a href="/">Übersicht</a></li> <li><a href="/all">alle Foren</a></li> <li><a href="/self">SELFHTML-Forum</a></li> <li><a href="/login?return_to=1818779" rel="nofollow">anmelden</a></li> <li><a href="/registrations/new" rel="nofollow">Benutzerkonto erstellen</a></li> <li><a href="#tree-m1818779">Beitrag im Thread-Baum</a></li> </ul> </nav> </div> </div> </li> <li> <div class="posting-nested cf-thread-message h-entry "> <div class="posting-header"> <header class="cf-message-header " id="m1818941"> <h3> <a href="/self/2025/feb/17/inline-styles-unsicher/1818941#m1818941">Inline Styles unsicher?</a> </h3> <div class="details"> <span class="author"> <a class="user-link" href="/users/3972" title="Benutzer Julius"><span class="registered-user "><img alt="" class="avatar" loading="lazy" src="/uploads/users/avatars/000/003/972/thumb/em34_leuchtbild_rund.png"> Julius</span></a> </span> <time datetime="2025-02-19T16:20:03"> <a href="/self/2025/feb/17/inline-styles-unsicher/1818941#m1818941">19.02.2025 17:20</a> </time> <ul class="cf-tags-list-thread"> <li class="cf-tag"> <a href="/tags/css">css</a></li> </ul> </div> <div class="details"> </div> </header> <div class="cf-voting-area top"> <span class="votes" title="Bewertung: keine Bewertung"> – </span> <a href="https://wiki.selfhtml.org/wiki/SELFHTML:Forum/Bewertungsregeln" class="infos"> <span>Informationen zu den Bewertungsregeln</span> </a> </div> </div> <div class="cf-posting-content e-content"> <p>Hallo Michael,</p> <p>eine CSP dient dazu, dass der Server dem Browser mitteilen kann, aus welchen Quellen die ausgelieferte Website „Content“ (CSS, Scripte, Fonts, Bilder etc.) beziehen können soll. Im Normalfall erlaubt die CSP einer Website auch nur die Quellen, die sie wirklich braucht.</p> <p>Dies dient als zusätzliche Sicherheitsebene, falls die Logik der Website Fehler aufweist.</p> <blockquote> <p>Sanitizer können aber nicht davor schützen, dass Inline-Styles böswillig den Nutzer optisch täuschen oder etwas vorgaukeln.</p> </blockquote> <p>Falls man mittels eines Sanitizers HTML-Input säubert, will man üblichweise <em>jegliches</em> JavaScript und CSS herausfiltern und evtl. auch nur eine bestimmte Auswahl an HTML-Elementen und Attributen zulassen.</p> <p>Eine CSP kann und sollte hier als zusätzliche Sicherheitsebene zum Einsatz kommen.</p> <blockquote> <p>Gibt es hierzu irgendwo Erläuterungen, die das Problem verständlich skizzieren? Gibt es ggfs. auch eine Web-Seite, die veranschaulicht, wie sich die unterschiedlichen CSP setting für style-src auf die Darstellung auswirken?</p> </blockquote> <p>Im Grunde ist es ganz einfach: Wenn man Inline-Styles verwendet, diese aber von der CSP verboten werden, werden sie schlicht ignoriert (außer bei einer Report-Only-CSP).</p> <blockquote> <p>Mir ist das Thema Inline-Styles und die Problematik bekannt, aber ich würde gern dazu eine Demo geben. (... ich könnte natürlich auch am eigenen Server so etwas basteln, aber das kostet zuviel Zeit).</p> </blockquote> <p>Falls du PHP zur Verfügung hast, kannst du dir in 2 Minuten so etwas basteln:</p> <pre><code class="block language-php"><span class="token php language-php"><span class="token delimiter important">&lt;?php</span> <span class="token function">header</span><span class="token punctuation">(</span><span class="token string single-quoted-string">'Content-Security-Policy: …'</span><span class="token punctuation">)</span><span class="token punctuation">;</span> <span class="token delimiter important">?></span></span><span class="token doctype"><span class="token punctuation">&lt;!</span><span class="token doctype-tag">doctype</span> <span class="token name">html</span><span class="token punctuation">></span></span> <span class="token comment">&lt;!-- HTML mit Inline-Styles deiner Wahl --></span> </code></pre> <p>Will man eine produktiv betriebene Website auf die Auswirkungen einer CSP untersuchen, würde ich diese dort als Report-Only setzen und dann einen Reporting-Dienst (z. B. <a href="https://www.uriports.com/" rel="nofollow noopener noreferrer">uriports.com</a> – Die Reports kann man zwar auch selbst einsammeln und aufbereiten, aber das sehe ich nicht als sinnvoll an.) zur Auswertung verwenden. Basierend auf den Resultaten kann man dann ggf. CSP und / oder Website anpassen und die CSP dann scharf schalten, wenn eine gewisse Zeit lang keine Reports eingingen.</p> <p>Ich kann auch die anderen von uriports unterstützten Reporting-Möglichkeiten nur empfehlen: Mit denen findet man häufig noch andere Probleme, mit denen man gar nicht gerechnet hat...</p> <p>Viele Grüße<br> Julius</p> </div> <div class="posting-footer"> <div class="button-container"> <div class="message-links"> <div class="controls"> <a class="cf-btn" data-action="answer" href="/self/2025/feb/17/inline-styles-unsicher/1818941/new" rel="nofollow">Antwort verfassen</a> <a class="cf-btn" data-action="answer" data-quote="yes" href="/self/2025/feb/17/inline-styles-unsicher/1818941/new?with_quote=yes" rel="nofollow">Antwort mit Zitat verfassen</a> <a class="cf-btn" href="/self/2025/feb/17/inline-styles-unsicher/1818941/flag" rel="nofollow">Beitrag melden</a> </div> </div> <div class="cf-voting-area bottom"> <form action="/self/2025/feb/17/inline-styles-unsicher/1818941/downvote" class="cf-inline-form" method="post"><input name="_csrf_token" type="hidden" value="IHw4DH8hQDI2KDdyVAdUcAMOMyg7Zj0YsQp9Kx7jgceCao1FIBvad_yB"><input type="hidden" name="f" value="self"><input type="hidden" name="r" value="message"><button class="vote-button vote-down " title="negativ bewerten" type="submit" disabled><span>negativ bewerten</span></button></form> <span class="votes" title="Bewertung: keine Bewertung"> – </span> <form action="/self/2025/feb/17/inline-styles-unsicher/1818941/upvote" class="cf-inline-form" method="post"><input name="_csrf_token" type="hidden" value="IHw4DH8hQDI2KDdyVAdUcAMOMyg7Zj0YsQp9Kx7jgceCao1FIBvad_yB"><input type="hidden" name="f" value="self"><input type="hidden" name="r" value="message"><button class="vote-button vote-up " title="positiv bewerten" type="submit" disabled><span>positiv bewerten</span></button></form> <a href="https://wiki.selfhtml.org/wiki/SELFHTML:Forum/Bewertungsregeln" class="infos"> <span>Informationen zu den Bewertungsregeln</span> </a> </div> </div> <nav class="forum-links"> <ul> <li><a href="/">Übersicht</a></li> <li><a href="/all">alle Foren</a></li> <li><a href="/self">SELFHTML-Forum</a></li> <li><a href="/login?return_to=1818941" rel="nofollow">anmelden</a></li> <li><a href="/registrations/new" rel="nofollow">Benutzerkonto erstellen</a></li> <li><a href="#tree-m1818941">Beitrag im Thread-Baum</a></li> </ul> </nav> </div> </div> </li> <li> <div class="posting-nested cf-thread-message h-entry "> <div class="posting-header"> <header class="cf-message-header " id="m1818945"> <h3> <a href="/self/2025/feb/17/inline-styles-unsicher/1818945#m1818945">Inline Styles unsicher?</a> </h3> <div class="details"> <span class="author"> <a class="user-link" href="/users/13769" title="Benutzer Hörnchen"><span class="registered-user "><img alt="" class="avatar" loading="lazy" src="/uploads/default_avatar/thumb/missing.png"> Hörnchen</span></a> </span> <time datetime="2025-02-20T15:33:04"> <a href="/self/2025/feb/17/inline-styles-unsicher/1818945#m1818945">20.02.2025 16:33</a> </time> <ul class="cf-tags-list-thread"> <li class="cf-tag"> <a href="/tags/css">css</a></li> <li class="cf-tag"> <a href="/tags/sicherheit">sicherheit</a></li> </ul> </div> <div class="details"> </div> </header> <div class="cf-voting-area top"> <span class="votes" title="Bewertung: keine Bewertung"> – </span> <a href="https://wiki.selfhtml.org/wiki/SELFHTML:Forum/Bewertungsregeln" class="infos"> <span>Informationen zu den Bewertungsregeln</span> </a> </div> </div> <div class="cf-posting-content e-content"> <p>Hallo Michael,</p> <p>das was du geschrieben hast ist tatsächlich ein Sicherheitsproblem. Es gibt verschiedene Angriffsszenarien. Eine davon wäre Clickjacking-Methode. Eine weitere Methode ist die Manipulation des Layouts, so das Warnhinweise oder Sicherheitshinweise nicht mehr eingesehen werden können.</p> <p>Schützt CLP davor? CSP style-src 'unsafe-inline' verhindern Inline-Styles nicht. Das muss man anders lösen.</p> <p>Viele Grüße</p> <p>Hörnchen</p> </div> <div class="posting-footer"> <div class="button-container"> <div class="message-links"> <div class="controls"> <a class="cf-btn" data-action="answer" href="/self/2025/feb/17/inline-styles-unsicher/1818945/new" rel="nofollow">Antwort verfassen</a> <a class="cf-btn" data-action="answer" data-quote="yes" href="/self/2025/feb/17/inline-styles-unsicher/1818945/new?with_quote=yes" rel="nofollow">Antwort mit Zitat verfassen</a> <a class="cf-btn" href="/self/2025/feb/17/inline-styles-unsicher/1818945/flag" rel="nofollow">Beitrag melden</a> </div> </div> <div class="cf-voting-area bottom"> <form action="/self/2025/feb/17/inline-styles-unsicher/1818945/downvote" class="cf-inline-form" method="post"><input name="_csrf_token" type="hidden" value="IHw4DH8hQDI2KDdyVAdUcAMOMyg7Zj0YsQp9Kx7jgceCao1FIBvad_yB"><input type="hidden" name="f" value="self"><input type="hidden" name="r" value="message"><button class="vote-button vote-down " title="negativ bewerten" type="submit" disabled><span>negativ bewerten</span></button></form> <span class="votes" title="Bewertung: keine Bewertung"> – </span> <form action="/self/2025/feb/17/inline-styles-unsicher/1818945/upvote" class="cf-inline-form" method="post"><input name="_csrf_token" type="hidden" value="IHw4DH8hQDI2KDdyVAdUcAMOMyg7Zj0YsQp9Kx7jgceCao1FIBvad_yB"><input type="hidden" name="f" value="self"><input type="hidden" name="r" value="message"><button class="vote-button vote-up " title="positiv bewerten" type="submit" disabled><span>positiv bewerten</span></button></form> <a href="https://wiki.selfhtml.org/wiki/SELFHTML:Forum/Bewertungsregeln" class="infos"> <span>Informationen zu den Bewertungsregeln</span> </a> </div> </div> <nav class="forum-links"> <ul> <li><a href="/">Übersicht</a></li> <li><a href="/all">alle Foren</a></li> <li><a href="/self">SELFHTML-Forum</a></li> <li><a href="/login?return_to=1818945" rel="nofollow">anmelden</a></li> <li><a href="/registrations/new" rel="nofollow">Benutzerkonto erstellen</a></li> <li><a href="#tree-m1818945">Beitrag im Thread-Baum</a></li> </ul> </nav> </div> </div> </li> </ol> </article> </div> </div> </main> <footer class="cf-footer"> <ul> <li>Seit 1995 – <a href="https://wiki.selfhtml.org/wiki/SELFHTML:Verein">Die Energie des Verstehens</a></li> <li><a href="https://wiki.selfhtml.org/wiki/SELFHTML:Impressum">Impressum</a></li> <li><a href="https://wiki.selfhtml.org/wiki/SELFHTML:Impressum#Datenschutzbestimmungen">Datenschutz</a></li> <li>Software: <a href="https://github.com/ckruse/cforum_ex">Classic Forum</a> V5.7.23</li> <li class="sponsor"><a href="https://termitel.de/"><img alt="Termitel - Customer Care &amp; Sales" src="/images/termitel-customer-care-and-sales-639585ae6087c14fa099c4e0e2e1660f.svg?vsn=d"></a></li> <li class="sponsor"><a href="https://www.appsignal.com/"><img alt="AppSignal" src="/images/appsignal-e3045e28946f0657d47096a4faf0e32c.svg?vsn=d"></a></li> </ul> </footer> <script nonce="d0utsGyKG0oku4URFT19suFmsIgwv1k4nxQLfLMFQLw"> window.MathJax = { displayAlign: "left", messageStyle: "none", showMathMenu: false, menuSettings: { CHTMLpreview: false }, tex2jax: { inlineMath: [['$$', '$$']], displayMath: [], preview: "none", processEscapes: true } }; </script> <script src="https://forum.selfhtml.org/mathjax/MathJax.js?config=TeX-MML-AM_CHTML" async></script> <script nonce="d0utsGyKG0oku4URFT19suFmsIgwv1k4nxQLfLMFQLw">window.userToken = "";</script> <script src="/js/app-8872306ecbaeb167e05bafc1840844c0.js?vsn=d"></script> </body> </html>

Pages: 1 2 3 4 5 6 7 8 9 10