February 2, 20251 yr Ich habe einen Vaultwarden hinter dem NGINX Proxy Manager z.B. über vault.subdomain.xxx (ist nur ausgedacht) Rufe ich diese Domain auf werde ich auch schön auf den Vaultwarden weitergeietet. Funktioniert alles soweit. Mein Problem ist die Fehlermeldung unter Diagnostics im Admin bereich. Genauergesagt die Fehlermeldung: HTTP Response validation Error API calls: Header: 'content-security-policy' does not contain 'default-src 'none'' Rufe ich Vaultwarden aber per IP Adresse auf also 192.168.178.200/admin dann ist auch alles gut. Nur wenn ich über die Domain vault.subdomain.xxx gehe habe ich die Fehlermeldung. Ich habe schon so einiges ausprobiet mit GOOGLE und KI (ChatGPT, perplexity und Copilot) nichts der Vorschläge hat ein meinem Problem was geändert. Edited February 2, 20251 yr by mikiunraid
February 2, 20251 yr Du musst dem Ding auch richtig die Domain beibringen über die es erreichbar ist. Damit wird versucht sicherzustellen, dass nicht einfach jemand die Domain woanders hin umleitet und der Client das neue Ziel einfach akzeptiert. Quote Die Hersteller der Browser und auch die Webstandards entwickelnden Gremien sind ständig darum bemüht, Mechanismen zu finden, mit denen Angriffe auf Seitenbesucher verhindert werden können. Es geht insbesondere darum, das Unterschieben von bösartigem Code abzuwehren. Bei den sogenannten Cross-Site-Scripting-Attacken werden Daten von fremden Webservern eingebunden, die die Aufgabe haben, den Datenverkehr auf der gerade besuchten Website auszuspionieren, diesen zu manipulieren oder gar mögliche Softwarefehler auf dem Rechner des Seitenbesuchers auszunutzen, um Schadsoftware zu installieren. Ein solcher Abwehrmechanismus ist die Content Security Policy (zu deutsch etwa „Richtlinie für die Sicherheit der Inhalte“). Die Idee dahinter ist, dass der Webserver beim Ausliefern der eigentlichen Webseite noch zusätzliche Meta-Daten übermittelt, die den Browser dazu veranlassen, verschiedene Vorgänge zu verhindern. So ist es damit beispielsweise möglich, dass der Browser keine JavaScript-Dateien lädt und ausführt, wenn diese nicht von exakt demselben Webserver stammen, von dem die eigentliche Seite geladen wurde. Es kann sehr fein abgestuft werden, ob das JavaScript in einer eigenen Datei notiert sein muss, oder ob direkt im HTML-Dokument notierter JavaScript-Code, der in <script>-Elemente eingebettet ist, ausgeführt werden darf. https://wiki.selfhtml.org/wiki/Sicherheit/Content_Security_Policy
February 2, 20251 yr Author Solution Die Frage ist nur wie? UPDATE: Fehler gefunden. Es ist der AdGuard für Windows wenn ich diesen abschalte dann funktioniert es. PUH was für ein doofer Fehler. Aber das automatische Synchronisieren funktioniert immer noch nicht. Meine Hoffnung war ja wenn der Fehler verschwindet dann verschindet auch das Problem. Wenn ich im Browser Vaultwarden etwas ändere muss ich die App auf dem Smartphone manuel aktuallisieren. Verwende ich Bitwarden geht das automatisch. Edited February 2, 20251 yr by mikiunraid
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.