Felix Riesterer: CSP verhindert die OSM-Karte auf der Anmeldeseite zum SELF-Treffen 2018

problematische Seite

Liebe Mitlesende,

mein Firefox 60.0.2 blockiert die Anzeige der OSM-Karte mit einem Hinweis auf die Content Security Policy.

Auf der von mir betreuten Schulwebsite habe ich das damit gelöst, dass ich die Kacheln von PHP via CURL beziehe, um sie dann an den Browser auszugeben. Vielleicht hilft das hier auch weiter?

Liebe Grüße,

Felix Riesterer.

  1. problematische Seite

    hallo

    mein Firefox 60.0.2 blockiert die Anzeige der OSM-Karte mit einem Hinweis auf die Content Security Policy.

    Auf der von mir betreuten Schulwebsite habe ich das damit gelöst, dass ich die Kacheln von PHP via CURL beziehe, um sie dann an den Browser auszugeben. Vielleicht hilft das hier auch weiter?

    Das perverse ist eigentlich, dass das genau so schnell geht, wie die map von osm direkt anzufordern.

    Vielleicht ist osm ja auch nur irgend ein Schulserver (duck und weg)

    --
    Neu im Forum! Signaturen kann man ausblenden!
    1. problematische Seite

      Lieber beatovich,

      Das perverse ist eigentlich, dass das genau so schnell geht, wie die map von osm direkt anzufordern.

      findest Du? Ich empfinde beim Durchreichen schon eine Verlangsamung. Aber was soll's? Es funktioniert zufriedenstellend!

      Vielleicht ist osm ja auch nur irgend ein Schulserver (duck und weg)

      Keine Ahnung was ein Schulserver ist. Der Webserver in unserem Schülernetzwerk ist jedenfalls über's Internet nicht erreichbar, kann aber über einen Proxy Daten aus dem Internet anfordern.

      Liebe Grüße,

      Felix Riesterer.

  2. problematische Seite

    Hallo Felix,

    mein Firefox 60.0.2 blockiert die Anzeige der OSM-Karte mit einem Hinweis auf die Content Security Policy.

    Ich weiß. Ich hatte das auch schon angemerkt. Das ist der Grund, dass ich damals nicht auf OSM gesetzt habe. Die möchten nicht, dass man sie direkt einbindet.

    Auf der von mir betreuten Schulwebsite habe ich das damit gelöst, dass ich die Kacheln von PHP via CURL beziehe, um sie dann an den Browser auszugeben. Vielleicht hilft das hier auch weiter?

    Sie wirken aktiv einer Einbindung entgegen und bringen auch zum Ausdruck, dass sie das nicht möchten:

    OpenStreetMap-Daten stehen jedem zur freien Verfügung. Unsere Kachel-Server nicht.

    Ich finde nicht, dass wir uns darüber hinweg setzen sollten. Wenn wir OSM wollen statt Google Maps, sollten wir eher auf sowas wie Leaflet oder so setzen.

    LG,
    CK

    1. problematische Seite

      Lieber Christian,

      Wenn wir OSM wollen statt Google Maps, sollten wir eher auf sowas wie Leaflet oder so setzen.

      Leaflet ist lediglich das JavaScript-Framework, das zum Verschieben und Zoomen in der Karte benötigt wird. Die Kacheln müssen trotzdem von OSM geladen werden. Oder eben durch einen Proxy, wenn die CSP nicht anders befriedigt werden kann.

      Liebe Grüße,

      Felix Riesterer.

      1. problematische Seite

        Hallo Felix,

        Wenn wir OSM wollen statt Google Maps, sollten wir eher auf sowas wie Leaflet oder so setzen.

        Leaflet ist lediglich das JavaScript-Framework, das zum Verschieben und Zoomen in der Karte benötigt wird.

        Das weiß ich - aber im Gegensatz zur Einbindung via iframe ist das die Variante, die sie propagieren und als OK definieren 😉

        LG,
        CK

        1. problematische Seite

          Lieber Christian,

          Das weiß ich -

          ah, OK.

          aber im Gegensatz zur Einbindung via iframe ist das die Variante, die sie propagieren und als OK definieren 😉

          Anstelle von Leaflet habe ich OpenLayers benutzt.

          Liebe Grüße,

          Felix Riesterer.

    2. problematische Seite

      Lieber Christian,

      Das ist der Grund, dass ich damals nicht auf OSM gesetzt habe. Die möchten nicht, dass man sie direkt einbindet.

      heißt das, dass das jetzt einfach so bleibt?

      Liebe Grüße,

      Felix Riesterer.

      1. problematische Seite

        Hallo Felix,

        Das ist der Grund, dass ich damals nicht auf OSM gesetzt habe. Die möchten nicht, dass man sie direkt einbindet.

        heißt das, dass das jetzt einfach so bleibt?

        Solange kein anderer etwas ändert wird das wohl so bleiben, ja. V4 bekommt nur noch die allernotwendigste Maintenance.

        LG,
        CK

  3. problematische Seite

    Auf der von mir betreuten Schulwebsite habe ich das damit gelöst, dass ich die Kacheln von PHP via CURL beziehe, um sie dann an den Browser auszugeben. Vielleicht hilft das hier auch weiter?

    Du hast faktisch in PHP einen kleinen HTTP-Proxy-Server geschrieben, wenn du Apache benutzt, kannst du das auch über eine Rewrite-Rule realisieren:

    RewriteRule "^/api/(.*)$" "https://example.com/$1" [P]
    

    Stimme aber Christian zu, dass man sich nicht einfach über die Nutzungsbedingungen von OSM hinwegsetzen sollte.

    1. problematische Seite

      hallo

      Auf der von mir betreuten Schulwebsite habe ich das damit gelöst, dass ich die Kacheln von PHP via CURL beziehe, um sie dann an den Browser auszugeben. Vielleicht hilft das hier auch weiter?

      Du hast faktisch in PHP einen kleinen HTTP-Proxy-Server geschrieben, wenn du Apache benutzt, kannst du das auch über eine Rewrite-Rule realisieren:

      RewriteRule "^/api/(.*)$" "https://example.com/$1" [P]
      

      Das kann man aber datenschutztechnisch nicht so gleichsetzen.

      --
      Neu im Forum! Signaturen kann man ausblenden!
      1. problematische Seite

        RewriteRule "^/api/(.*)$" "https://example.com/$1" [P]
        

        Das kann man aber datenschutztechnisch nicht so gleichsetzen.

        Ich verstehe nicht so Recht worauf du hinaus möchtest.

        1. problematische Seite

          hallo

          RewriteRule "^/api/(.*)$" "https://example.com/$1" [P]
          

          Das kann man aber datenschutztechnisch nicht so gleichsetzen.

          Ich verstehe nicht so Recht worauf du hinaus möchtest.

          Welche Daten werden an OSM gesendet, wenn via php ein selbständiger Request initiiert wird? Welche Daten werden an OSM gesendet, wenn du Apaches Proxi Funktion nutzt?

          --
          Neu im Forum! Signaturen kann man ausblenden!
          1. problematische Seite

            Welche Daten werden an OSM gesendet, wenn via php ein selbständiger Request initiiert wird?

            Kommt auf das PHP-Skript an.

            Welche Daten werden an OSM gesendet, wenn du Apaches Proxi Funktion nutzt?

            Kommt auf die Apache-Konfiguration an. I.A. ist man da mit PHP natürlich flexibler.

    2. problematische Seite

      Lieber 1unitedpower,

      RewriteRule "^/api/(.*)$" "https://example.com/$1" [P]
      

      je nach Webhostingpaket ist das keine Option. PHP dagegen schon. Außerdem definiere ich in PHP genau das, was an Daten zu OSM geht, und was nicht. Dann kann ich mich auch darauf verlassen, dass spätere Änderungen meines Hosters an den Apache-Konfigurationen keine Überraschungen bringen.

      Liebe Grüße,

      Felix Riesterer.

      1. problematische Seite

        je nach Webhostingpaket ist das keine Option. PHP dagegen schon. Außerdem definiere ich in PHP genau das, was an Daten zu OSM geht, und was nicht. Dann kann ich mich auch darauf verlassen, dass spätere Änderungen meines Hosters an den Apache-Konfigurationen keine Überraschungen bringen.

        Alles richtig und legitim, nur dass du bei PHP auch auf die Verfügbarkeit von curl angewiesen bist. Wollte die Apache-Lösung nur wegen ihrer Einfachheit erwähnt haben.

        1. problematische Seite

          hallo

          je nach Webhostingpaket ist das keine Option. PHP dagegen schon. Außerdem definiere ich in PHP genau das, was an Daten zu OSM geht, und was nicht. Dann kann ich mich auch darauf verlassen, dass spätere Änderungen meines Hosters an den Apache-Konfigurationen keine Überraschungen bringen.

          Alles richtig und legitim, nur dass du bei PHP auch auf die Verfügbarkeit von curl angewiesen bist. Wollte die Apache-Lösung nur wegen ihrer Einfachheit erwähnt haben.

          Eigentlich einfach wäre eine kleine selbst gehostete Planskizze und ein Link zu OSM.

          --
          Neu im Forum! Signaturen kann man ausblenden!