Content Security Policy в консоле - Joomla 3.x: Общие вопросы

Опять я =)
Всем доброго времени суток, у меня такая вот штука приключилась.
Установил на сайт формуляр обратной связи от JSN Uniform (хорошая штука!), всё настроил, всё ок.
Просматривал на днях сайт через «инспектор» в консоле и нашёл на странице формуляра вот такое вот многократно повторяющиеся предупреждение:
Content Security Policy: Ignorieren von "'unsafe-inline'" innerhalb script-src: 'strict-dynamic' angegeben
Content Security Policy: Ignorieren von "https:" innerhalb script-src: 'strict-dynamic' angegeben
Content Security Policy: Ignorieren von "http:" innerhalb script-src: 'strict-dynamic' angegeben


Поковырялся и понял что есть связь с reCaptch`ей ибо если её отключить, предупреждение пропадает.
Много уже где успел спросить, сказали лишь то что это с настройками браузера может быть связано.
Вроде как если выключить AddOn`ы и поставит «помягче» настройки privacy, предупреждение пропадёт.

Попробовал, не пропадает, почистил кэч, опять не пропадает.
Вот чем пользуемся:
Joomla: 3.9.15 Stable
Template: Protostar
PHP: 7.3.14
Databank: 5.7-MySQL / 10.3-MariaDB / 9.6-PgSQL (bei bplaced)
Firefox: 73.0 (64-Bit)

Ссылка: https://www.fechtbedarf-bajtinger.de/kontakt




Может кто то знает чем обусловлено это предупреждение или хотя бы что оно означает.




С уважением,
Игарь

Почитайте сперва про эти политики безопасности. Там не браузер настраивать надо (посетителям вы его не настроите), а заголовки, которые ваш сервер отдает браузеру. Именно он сообщает надо ли проверять соответствие расположения скриптов и пр.

Спасибо за ссылки, прочитал, но если честно понял не много.
Что понял так это то что что то где то не прописано и по этому не является разрешённым (?)

В связи с этим хочу cпросить (если конечно моя гепотиза правильна):
->Как и где настроить CSP что бы reCaptcha правильно грузилась?

"CSP работает по принципу «если что-то не упомянуто, значит запрещено». То есть при отсутствии ключевого слова unsafe-inline все инлайн-тэги style и script будут блокироваться."
->Где упомянуть и как?

"HTTP-заголовок можно прописать прямо в конфигурационных файлах на сервере"
->Т.е. внедрять нужно в index.php в шаблоне?


Я "установил" reCaptch`у посредством нажатия клавиши "Captcha integration", так что мне в принципе вообще не ясно чо он рушается......

https://www.builder-upload.eu/bild-0c64cf-1582753184.png.html

->Т.е. внедрять нужно в index.php в шаблоне?

Нет, эти заголовки должны быть заданы в nginx (или апач, смотря что у вас). Вот еще одна ссылка на настройки этих заголовков в нгинкс. Попробуйте (если имеете доступ) сделать такие же:

Суть этих политик в том, что сервер сообщает браузеру какие ресурсы можно открывать, а какие нет. Одна из них, например, запрещает (или шлет предупреждения), если скрипты подключены в коде страницы, либо добавляются на лету, либо тянутся со сторонних ресурсов. Это сделано, чтоб предотвратить работоспособность левых скриптов, которые могут быть встроены злоумышленником на ваш сайт.

Ну я так погимаю, это предупреждение не влияет на функцию формуляра обратной связи.
Оно только лишь показывает что в моём случае reCAPTCHA не на моём сайте а отображается с других ресурсов.

ПС.: Chrome так аж 6 предупреждений выдаёт - https://ibb.co/42MDMvL

Оно только лишь показывает что в моём случае reCAPTCHA не на моём сайте а отображается с других ресурсов.

Да, вроде того. Если рекапча у вас при этом работает, то значит политики включены в режиме предупреждения, а не запрещения.

Ясно, пожалуй оставлю кась я всё как есть.
Неохото сначала ломать а потом героичестки ремонтировать 

К стате читал на дркгих форумах про ту же ошибку, НИГДЕ она решена не была.

Можете стать первым )

К стате читал на дркгих форумах про ту же ошибку, НИГДЕ она решена не была.

Странно, достаточно указать правильные политики и ошибок не будет. Вот довольно подробная статья о CSP https://beginpc.ru/internet/setting-up-content-security-policy Возможно вам уже не актуально, поскольку ошибок я на сайте не вижу, впрочем как и заголовка.