BlackCat CMS Forum

shadowcat hat geschrieben: Mo 22. Mär 2021, 13:02 Eventuell kann das erste Problem dann auch dadurch gefixt werden, dass man in der config statt "//mydomain.com" vor das // doch wieder das Schema setzt, also "https : //mydomain.com". (Leerzeichen vor und hinter : nur damit das Forum den Link nicht als Link darstellt.) Denn *eigentlich* möchte man das Erzwingen von https durchaus so haben.

shadowcat hat geschrieben: Mo 22. Mär 2021, 13:02 Zu dem zweiten Problem:
Wird in der headers.inc.php irgendwo was mit http(s) von extern geladen? Findest Du was in den Logs?

Zur Not müßtest Du mal den Debug-Level im Page-Helper einschalten, aber "fatale" Fehler müßten auch schon im "normalen" Log erscheinen.

Access to font at 'https://beispiel.de/modules/lib_bootstrap_4/vendor/icons/font/fonts/bootstrap-icons.woff2?4601c71fb26c9277391ec80789bfde9c' from origin 'https://www.beispiel.de' has been blocked by CORS policy: No 'Access-Control-Allow-Origin' header is present on the requested resource.
bootstrap-icons.woff2:1 Failed to load resource: net::ERR_FAILED

$mod_headers = array(
	'frontend' => array(
		'js'  => array(),
		'css' => array(
    			array('file' => 'templates/'.pathinfo(__DIR__,PATHINFO_BASENAME).'/css/default/bootstrap.css'),
			array('file' => 'modules/lib_bootstrap_4/vendor/icons/font/bootstrap-icons.css'),
			array('file' => 'templates/'.pathinfo(__DIR__,PATHINFO_BASENAME).'/css/default/frontend.css'),
		),
        'jquery' => array( 'core' => true, 'ui' => true ),
        'meta' => array(
           		array('name'=>'viewport','content'=>"width=device-width, initial-scale=1.0"),
			array('charset'=>(defined('DEFAULT_CHARSET') ? DEFAULT_CHARSET : "utf-8")),
            		array('http-equiv'=>'X-UA-Compatible','content'=>'IE=edge'),
		)
    ),
);

shadowcat hat geschrieben: Di 23. Mär 2021, 14:42 Zusätzlich zu dem was Matthias oben schrieb kannst Du auch mal schauen, ob Du bei Strato irgendwo Einstellungen machen kannst. Man kann den 'Access-Control-Allow-Origin' Header nämlich auf Serverseite konfigurieren, geht aber nicht in einer .htaccess, glaube ich.

Über die Funktion HTTP Strict Transport Security (HSTS) erhalten die Besucher Ihrer Webseite die Information, dass die Seite über eine verschlüsselte Verbindung (HTTPS) erreichbar ist und dass diese Einstellung für längere Zeit im Browser zwischengespeichert werden soll. Das erspart den Besuchern zukünftig die URL der Webseite mit https:// einzugeben. Besonders hilfreich ist dies, wenn Besucher ein ungesichertes Netzwerk nutzen (z.B. ein öffentliches WLAN in einem Café), um die Seite aufzurufen.

HSTS per .htaccess
Die Voraussetzung für HSTS ist, dass Ihre Website über ein gültiges SSL-Zertifikat verfügt. Wir empfehlen zusätzlich die Funktion „SSL erzwingen“ zu aktivieren. Bitte stellen Sie auch sicher, dass keine Probleme beim Aufruf per „https“ auftreten.

Mit folgender Zeile können Sie HSTS in der .htaccess-Datei aktivieren:

Header set Strict-Transport-Security "max-age=16070400"

Über den Parameter «max-age» wird die Dauer in Sekunden angegeben, für die die HSTS-Regel im Browser zwischengespeichert werden soll.

'meta' => array(
	array('http-equiv'=>'Content-Security-Policy','content'=>"default-src 'self'; script-src 'self'; style-src 'self'; img-src 'self'"),
	array('http-equiv'=>'X-Content-Security-Policy','content'=>"default-src 'self' script-src 'self'; style-src 'self'; img-src 'self'"),
	array('http-equiv'=>'X-WebKit-CSP','content'=>"default-src 'self' script-src 'self'; style-src 'self'; img-src 'self'"),

creativecat hat geschrieben: Di 23. Mär 2021, 13:06 Idealerweise solltest du immer mit der htaccess auf konsequent mit www oder eben ohne www umleiten.
Entweder wird aus https://beispiel.de immer https://www.beispiel.de oder umgekehrt.

Auf ohne www geht es zum Beispiel mit dem Eintrag:

Code: Alles auswählen

RewriteBase /
RewriteCond %{HTTP_HOST} ^www\.(.*)$ [NC]
RewriteRule ^(.*)$ https://%1/$1 [R=301,L]

in der .htaccess-Datei in deinem Installationsverzeichnis.