Matomo mit CSP

09/04/2021 23:30 Legithos#1

Hallo zusammen,

habe vor kurzem Matomo auf meinem Webserver zum Tracken von Nutzerdaten installiert. Da ich via CSP die Ausf�hrung von inline scripts verbiete, bietet Matomo eine wundersch�ne L�sung in deren FAQ. Leider bin ich zu bl�d diese L�sung zu verstehen. Vielleicht kann mir diese nochmals von einem von euch genauer erkl�rt werden.

Code:

Content-Security-Policy "default-src 'self'; script-src 'self'; connect-src 'self'";

Is meine aktuelle Policy. Die Anleitung f�r den JS-Tracker findet ihr hier [Only registered and activated users can see links. Click Here To Register...]

Die Einbindung der <scripts> in meine header.php ist klar. die Erstellung von tacking.js und matomo.js ist ebenfalls klar, insofern ich schon richtig verstanden habe, dass beide beide Dateien auf meinem Server liegen d�rfen. Was ich gar nicht verstehe ist, was

Code:

var idSite = 1;

und

Code:

var matomoTrackingApiUrl = 'https://matomo.example.com/matomo.php';

f�r eine Rolle spielen und wie ich diese denn anpassen muss ? Ich meine was macht die matomo.php Datei da ? Auf Matomo wird nach der Standartinstallation �ber index.php zugegriffen.

Vielleicht hat das schonmal jemand gemacht und kann mich unterst�tzen. Vielen Dank vorab!

Legithos

EDIT:

Vielleicht bin ich nicht so dumm wie ich dachte, aber ich hab zumindest inzwischen (kurz nach Erstellung des Beitrages hier) etwas mehr verstanden.

Die matomo.php und matomo.js liegen sehr wohl neben index.php ebenfalls in dem matomo Ordner auf meinem Webserver. Die "isSite" ist die Webseiten-ID, falls ich mehrere Webseiten durch Matomo betreuen w�rde.

Meine Einstellungen wurden nun in allen Dateien angepasst, funkst jedoch trotzdem nicht - lol.

Auszug aus header.php

Code:

<script src="tracking.js"></script>
<script src="/analytics/matomo.js" async defer></script>

Fehler bez�glich der Einbindung/Lesbarkeit der zwei Dateien bekomme ich keine in der Konsole

Meine tracking.js

Code:

var idSite = 1;
var matomoTrackingApiUrl = '/analytics/matomo.php';

var _paq = window._paq = window._paq || [];  
_paq.push(['setTrackerUrl', matomoTrackingApiUrl]);
_paq.push(['setSiteId', idSite]);
_paq.push(['trackPageView']);
_paq.push(['enableLinkTracking']);

Der Fehler ist immer noch "Refused to execute inline script because it violates the following Content Security Policy directive: "script-src 'self'". Either the 'unsafe-inline' keyword, a hash ('sha256-txlqUcmv5lpZwWD+2e6uZijqlJnMIsphRkFXJA1NNW0='), or a nonce ('nonce-...') is required to enable inline execution."

Wenn ich CSP deaktiviere, funktioniert alles wie gewohnt.

09/05/2021 14:22 False#2

Eigentlich steht es im FAQ sehr gut erkl�rt.
Du brauchst eigentlich nur

Code:

<script src="https://example.com/tracking.js"></script>
<script src="https://matomo.example.com/matomo.js" async defer></script>

Hierbei ist zu beachten das die tracking.js auf der Selben Domain liegt wie dein (zu trackendes) Projekt.
Die matomo.js wiederum kommt von deiner matomo Instanz die unter einer Subdomain liegt.

Der Inhalt der tracking.js soll wie folgt aussehen:

Code:

var idSite = 1;
var matomoTrackingApiUrl = 'https://matomo.example.com/matomo.php';

var _paq = window._paq = window._paq || [];  
_paq.push(['setTrackerUrl', matomoTrackingApiUrl]);
_paq.push(['setSiteId', idSite]);
_paq.push(['trackPageView']);
_paq.push(['enableLinkTracking']);

Wobei du hierbei dann die Api Url auf deine (Sub)Domain der matomo �ndern musst.

Somit solltest mit der einrichtung von Matomo fertig sein.
Da du nun aber versuchst eine Javascript Datei zu laden die nicht von deiner Domain sondern von einer Subdomain kommt wird der Browser es blockieren, da du "self" nutzt.
Somit musst du die CSP auch erweitern, mit der (Sub)Domain der matomo Instanz.
Beispiel auf dem FAQ:

Code:

Header set Content-Security-Policy "default-src 'self'; connect-src https://matomo.example.com; script-src 'self' https://matomo.example.com; img-src 'self' https://matomo.example.com; style-src 'self'; frame-ancestors 'self'; frame-src 'self';"

Danach sollte matomo funktionieren (sofern die matomo selbst funktioniert - kenne ich nicht -).

09/05/2021 19:44 Legithos#3

Danke schonmal vorab f�r die Erkl�rung. Jetzt liegt Matomo jedoch nicht auf meiner Subdomain, sondern in dem Ordner /analytics/ meines Grundverzeichnisses, also [Only registered and activated users can see links. Click Here To Register...].

Die Variablen aus dem Example (tracking.js-Pfad, matomo.js-Pfad und matomoTrackingApiUrl) habe ich angepasst, jedoch funktioniert es trotzdem nicht. Die Subdomain in meine CSP zu erg�nzen d�rfte ich mir ja dann sparen k�nnen, wenn Matomo nicht unter einer Subdomain gespeichert wird.

09/05/2021 21:11 False#4

Dann schick uns doch mal die Seite dann kann man sich das angucken..
Es fehlen einfach zu viele Informationen was genau jetzt nicht geht...

- Werden die Datein geladen oder von CSP blockiert (Schau im Network Tab)
- L�uft das Javascript (sprich werden Request's an matomo gesendet) ?
- Gehen die Requests durch oder werden diese blockiert ?

Wenn die Requests durch gehen liegt es an der Konfiguration oder an matomo und nicht an der CSP.