Consent-Banner durch CSP blockiert

Warum das wichtig ist

Eine strenge CSP ist gute Security-Hygiene, aber wenn sie das CMP selbst blockiert, kann die Seite in Produktion unbemerkt ihre komplette Consent-Ebene verlieren.

So prüfen Sie das manuell

1. Öffnen Sie die DevTools-Konsole und suchen Sie nach CSP-Verletzungen in Bezug auf CMP-Ressourcen.
2. Prüfen Sie, ob Banner-Skript, CSS, iframe oder API-Endpunkte blockiert werden.
3. Vergleichen Sie lokales und produktives CSP-Verhalten, wenn das Problem nur in Produktion auftritt.

Typische Ursachen

• CMP-Domains fehlen in script-src, frame-src oder connect-src.
• Nonce- oder Hash-basierte CSP-Regeln decken den Inline-Bootstrap-Code des CMP nicht ab.
• Ein Deployment hat CSP-Header geändert, ohne die CMP-Abhängigkeiten erneut zu validieren.

Behebung in GTM

1. Verlassen Sie sich nicht auf GTM als Workaround, wenn die CMP-Assets selbst von CSP blockiert werden.
2. Prüfen Sie, ob GTM-injizierte CMP-Fallbacks an denselben CSP-Regeln scheitern.
3. Testen Sie nach CSP-Updates in den Produktions-Headern erneut.

Behebung in WordPress oder CMP-Plugins

1. Prüfen Sie Security-Plugins, Host-Header und CDN-Regeln, die CSP injizieren.
2. Whitelisten Sie nur die CMP-Domains, die Ihr Banner-Setup tatsächlich nutzt.
3. Testen Sie nach Header-Änderungen mit deaktiviertem Browser-Cache erneut.

Allgemeine Entwicklerkorrektur

1. Whitelisten Sie nur die minimal nötigen CMP-Origin-Domains für Skripte, Frames und API-Calls.
2. Bevorzugen Sie gezielte CSP-Updates statt einer generellen Aufweichung der gesamten Policy.
3. Versionieren Sie CSP-Regeln und testen Sie den Banner bei jeder Änderung erneut.

So bestätigen Sie, dass die Behebung funktioniert

• Bestätigen Sie, dass CSP-Fehler für CMP-Assets verschwinden.
• Bestätigen Sie, dass das Banner rendert und Benutzereingaben normal akzeptiert.
• Starten Sie einen neuen Scan und prüfen Sie, dass das Banner-Problem verschwindet.