Bug-fix: CSP violated-directive: style-src-attr

[oioix]

AddOns: consent_manager 4.2.0

Inline Style in consent_manager_box.php

Wenn man CSP im Einsatz hat und in consent_manager einen Dienst verwendet, der nach dem Einverständnis ein Script lädt, bekommt man einen CSP-Verstoß.

Grund des Problems
In der Datei consent_manager_box.php Zeile 98 findet sich nachfolgende Zeile mit dem Inline style: style="display: none"
echo '<div style="display: none" class="consent_manager-script" data-uid="script-' . $uid . '" data-script="' . $script . '"></div>';

Da diese Zeile nur geladen wird, wenn man einen Dienst mit Script aktiviert hat, fällt das Problem ansonsten nicht auf. Mir ist es nun auch nur aufgefallen, weil ich erstmals ein YouTube-Video mit dem Addon plyr einbinden wollte.

Lösung:
Das div hat ohnehin keinen sichtbaren(!) Inhalt, weil es nur dazu dient das für den Dienste benötigte Script im div-Attribut data-script="" zuspeichern und später im Falle der Zustimmung in diesem div als <script></script> (also weiterhin unsichtbar)zu injizieren.

Daher kann man den Inline-Style style="display: none" einfach löschen und der Spuk hat ein Ende.
Wie gesagt man sieht das leere div nicht. Vorsorglich hab im CSS dennoch den entfernten Inline-Style aufgenommen:
consent_manager-script {display:none;}

[oioix]

In dem PR, den ich heute auf Wunsch von bitshiftergmbh eingestellt habe, ist das style="display: none" nun nicht mehr drin. Insofern ist es damit gelöst.

Allerdings habe ich kein CSS geändert, also kein consent_manager-script {display:none;} in irgendeinem css/scss aufgenommen, weil in meinen Tests - wie schon beschrieben - das div ohnehin nicht sichtbar war, weil das Script hier nur als base64 im Attribut des divs aufgegeben wurde und das div-tag ansonsten keinen Inhalt hat.
Wollte ich vorsorglich nur noch anmerken.

[aeberhard]

display:none; wird in den CSS-Files aufgenommen