• Resolved silenceno1

    (@silenceno1)


    Hallo mollie-Team!
    Ich betreibe einen Online-Shop über WordPress in Verbindung mit Woocommerce und nutze für diverse Zahlungungsarten Ihr Plugin. Das mollie Plugin kann ich jedem nur empfehlen. Es lässt sich leicht einbinden, ist nahezu immer verfügbar, toller Support – sofern sich denn überhaupt Fragen auftun und auch bzgl. des Datenschutzes (DSGVO) sehr empfehlenswert.

    Aktuell habe ich jedoch ein Problem bzgl. der Sicherheit in Verbindung mit Ihrem Plugin, dass ich leider nicht zufriedenstellend beheben kann und daher bitte ich Sie um Hilfe.

    Um Angriffe durch Einschleusen von Daten in Webseiten zu verhindern, nutze ich für WordPress unter anderem die Content Security Policy (CSP).

    Die “.htaccess” mit der CSP Richtlinie für das Frontend sieht bei mir folgendermaßen aus.

    # Content-Security-Policy (CSP) 
    <IfModule mod_headers.c> 
    Header set Content-Security-Policy "default-src 'none'; style-src 'self'; font-src 'self'; img-src 'self'; media-src 'self'; connect-src 'self'; frame-ancestors 'self'; form-action 'self';" script-src 'self' 'unsafe-inline' 'unsafe-eval' https://www.meine-webseite.de; object-src 'self' https://www.meine-webseite.de/ 
    </IfModule>

    Mit dieser CSP funktioniert Ihr Plugin leider nicht für die Zahlungungsart “Kreditkarte” – alle anderen Zahlungungsarten (Banküberweisung, giropay, Klarna, EPS, Bancontact, iDEAL und PayPal) funktionieren.

    Mit anderen Worten, wählt ein Kunde die Zahlart “Kreditkarte” aus, kann er auf unserer Webseite keine Kreditkartendaten eingeben wie “Kartennr., Inhaber, Verfallsdatum und CVV”. Diese Eingabefelder werden erst gar nicht angezeigt. Ohne die CSP Richtlinie in der .htaccess, kann er diese Daten eingeben.

    Der Grund hierfür sind warscheinlich die folgenden Werte innerhalb der CSP:

    script-src 'self' 'unsafe-inline' 'unsafe-eval' https://www.meine-webseite.de; 
    object-src 'self' https://www.meine-webseite.de;

    Ändere ich die Werte nachfolgend ab, dann werden die Formularfelder zwar angezeigt, aber eine Eingabe ist dennoch nicht möglich, da die Eingabefelder nicht anklickbar sind.

    script-src 'self' 'unsafe-inline' 'unsafe-eval' https:; 
    object-src 'self' https:;

    Über die “Entwicklerwerkzeuge” unter dem Reiter “Konsole” in Mozilla Firefox wird mir hierzu folgender Fehler angezeigt:

    Content Security Policy: Die Einstellungen der Seite haben das Laden einer Ressource auf https://js.mollie.com/v1/component/... blockiert ("default-src").

    FRAGE:
    Welche CSP Richtlinie wird von Ihrem Plugin benötigt, bzw. welche Änderung an der CSP wären nötig, so das die Eingabe der Kreditkartendaten auf unserer Webseite möglich ist?

    Vielen Dank für Ihre Mühe
    Mit freundlichen Grüßen
    Michael

Viewing 2 replies - 1 through 2 (of 2 total)
  • Plugin Support Syde Niklas

    (@niklasinpsyde)

    Hallo @silenceno1

    vielen Dank für dein Feedback zum Mollie Plugin. Es freut uns zu hören, dass es für dich zufriedenstellend funktioniert. Das Team freut sich auch über jedes Plugin Review hier auf wordpress.org.

    Bezüglich deines Problems mit der Content Security Policy (CSP) und der Zahlungsart “Kreditkarte” habe ich einige Informationen und Empfehlungen für dich.

    Die Mollie-Komponenten, die die Kreditkartenfelder auf deiner Checkout-Seite anzeigen, sind tatsächlich iframes, die direkt von den Mollie-Servern geladen werden. Daher sollten sichergestellt sein, dass deine CSP Richtlinie diese iframes zulässt. Du hast zwei Hauptoptionen:

    1. Die Komponenten deaktivieren: In diesem Fall würde die Zahlung auf der Mollie-Seite stattfinden. Wenn du diese Option bevorzugst, musst du keine Änderungen an deiner CSP vornehmen.
    2. Die CSP anpassen: Um die iframes für die Mollie-Komponenten zuzulassen, solltest du deine CSP Richtlinie anpassen. Bitte probiere es mit folgenden Anpassungen aus:
    # Content-Security-Policy (CSP)
    <IfModule mod_headers.c>
    Header set Content-Security-Policy "default-src 'none'; style-src 'self'; font-src 'self'; img-src 'self'; media-src 'self'; connect-src 'self' https://*.mollie.com; frame-src 'self' https://*.mollie.com; frame-ancestors 'self'; form-action 'self'; script-src 'self' 'unsafe-inline' 'unsafe-eval' https://www.meine-webseite.de https://*.mollie.com; object-src 'self' https://www.meine-webseite.de https://*.mollie.com;"
    </IfModule>
    

    In dieser angepassten CSP Richtlinie haben wir frame-src hinzugefügt und erweitert, um die Domains https://*.mollie.com zuzulassen. Dadurch sollte das Mollie-Plugin für die Zahlungsart “Kreditkarte” korrekt funktionieren, ohne die Sicherheit deiner Webseite zu beeinträchtigen.

    Bitte probiere die gewählte Option aus und lass uns wissen, ob es dein Problem löst. Wir konnten es selbst leider nicht ausprobieren.

    Falls darüber hinaus weitere Probleme oder Fragen auftreten, empfehle ich direkt beim Mollie Support Team nachzufragen. Danke!

    Viele Grüße
    Niklas

    Thread Starter silenceno1

    (@silenceno1)

    Hallo,
    Deine Ergänzungen bzgl. der CSP funktionieren problemlos.

    Herzlichen Dank für Deine Mühe!

    Freundliche Grüße
    Michael

Viewing 2 replies - 1 through 2 (of 2 total)
  • The topic ‘Content Security Policy (CSP) mit mollie Plugin (Kreditkarte, credit card)’ is closed to new replies.