csp et matomo

Bonjour

Je cherche à configurer matomo avec mon site. mon site a le htaccess suivant :

Header set Content-Security-Policy "default-src 'self'; connect-src https://matomo.example.org; script-src 'self' 'nonce-matomo' https://matomo.example.org; img-src 'self' https://matomo.example.org; style-src 'self' 'unsafe-inline'; frame-ancestors 'self'; frame-src 'self' https://example.org/;"

J’ai ce message d’erreur :

Content-Security-Policy : Les paramètres de la page ont empêché l’exécution d’un script intégré (script-src-elem) car il enfreint la directive suivante : « script-src 'self' 'nonce-matomo' https://matomo.example.org 'unsafe-inline' »

Et impossibilité d’avoir le suivi matomo. Une idée pour corriger ?

Malheureusement j’ai toujours la même erreur :

Content-Security-Policy : Les paramètres de la page ont empêché l’exécution d’un script intégré (script-src-elem) car il enfreint la directive suivante : « script-src 'self' 'nonce-matomo' https://matomo.example.org https://cdn.matomo.cloud »

Et j’ai rien dans l’onglet réseau.

ÉDIT : j’ai rajouté ça : 'sha256-ySFwnbRK6rPVWqaxQQnslDcrGy2ZkRR8uXrNSYoIj1o=' comme indiqué dans la console Chromium (j’utilisais firefox). Je vais voir si ça change quelque chose, mais en tout cas, plus de message d’erreur.

Ah, donc c’est pas le chargement d’un script mais l’exécution (probablement du snippet, ~16 lignes de code à mettre dans le <head>) qui devait être bloqué.

En effet il faut ajouter le hash de ce code à la CSP pour autoriser son exécution.

Tu peux vérifier dans l’onglet réseau que tu as bien des appels à Matomo qui sont faits, et que les données remontent bien dans le dashboard

D’ailleurs j’ai utilisé le hash proposé par chromium, mais comment retrouver ce hash autrement (pour les autres cas) ?

Si le script est fourni, le hash devrait l’être aussi avec.

Sinon normalement tu peux faire passer ton fichier dans l’algo de ton choix (par exemple sha256 ici) pour avoir le résultat, avec le préfixe pour indiquer l’algo à utiliser pour la validation justement.

Je ne vois pas le hashtag avec matomo.

Ah, parce que tu as ajouté 'nonce-matomo' dans ta CSP, donc plutôt que d’autoriser tous les scripts du domaine tu autorises uniquement les scripts ayant le bon nonce (hash).

La documentation de Matomo a plutôt l’air de partir du principe que le domaine entier est autorisé, des fois que les script évoluerait d’une version à l’autre.

Merci ! Je vais voir comment résoudre ça.