[10.14 Mojave] Safari blockiert plötzlich alle PDFs

[Ijon Tichy]

Seit kurzem blockiert Safari das Anzeigen von PDFs, die aus einer Webseite verlinkt sind. Statt dem PDF wird "Blockiertes Plug-In" angezeigt.

Es gibt keinen Button "weiter Infos" oder dergleichen, der erklären würde wie man das entsperrt. In den Einstellungen kann ich nichts passendes finden. Das einzige, was halbwegs passt ist Einstellungen für diese Website > Inhaltsblocker aktivieren, aber es ist egal, was da eingestellt ist, das Plug-In wird so oder so blockiert.

Wie kann ich PDFs wieder erlauben?

Bei einem zweiten Mac mit Catalina übrigens auch seit kurzem dasselbe Problem. Kommt das von einem kürzlichen Safari-Update?

 

[Ijon Tichy]

Beispiel-Link: https://www.dbu.de/OPAC/ab/DBU-Abschlussbericht-AZ-31086_01-Hauptbericht.pdf

Geht der bei euch?

Ich habe Safari 14.0 (14610.1.28.1.10)

 

[dg2rbf]

Hi,
das liegt an diesem PDF, hier in ElCapitan kommt die gleiche Fehlermeldung unter Safari, mit FF wird das File runtergeladen.
Franz

 

[Ijon Tichy]

Ja, komisch, es sind nur manche PDFs, und ich frage mich, inwiefern die anders sind. Übertragen wird in allen Fällen Content-Type: application/pdf, also sollte doch dasselbe Plug-In verwendet werden.

Oder hängt es mit dem SSL-Zertifikat zusammen? Das ist von Let's Encrypt, aber wird bei mir in grün angezeigt.

 

[saw]

Öffnen geht nicht, nur "verknüpfte Datei laden"

 

[Ijon Tichy]

das liegt an diesem PDF, hier in ElCapitan kommt die gleiche Fehlermeldung unter Safari, mit FF wird das File runtergeladen.

Da es mit FF (und auch mit Chrome und Opera) geht, liegt es ja eben nicht am PDF. Also nicht nur jedenfalls.

 

[Marcel Bresink]

Die Website "www.dbu.de" deklariert eine "Content Security Policy" (CSP). In dieser Richtlinie ist festgelegt, dass "Nicht-HTML"-Daten nur von bestimmten Ordnern des Servers abgerufen werden dürfen. Der Ordner "OPAC/ab" ist im Moment wohl nicht aufgeführt, also wird das PDF korrekt als nicht vertrauenswürdiges Dokument angesehen und die Sofortanzeige blockiert. Nur moderne Browser unterstützen dieses Sicherheitsverfahren.

 

[Ijon Tichy]

Super Info, @Marcel Bresink, tausend Dank!

Kannst du mir noch erklären, aus welchen Angaben sich das genau ergibt? Ich nehme an, das steht in den Antwort-Headern:

HTTP/1.1 200 OK
Date: Mon, 02 Nov 2020 14:19:16 GMT
Server: Apache
X-Frame-Options: SAMEORIGIN
X-Xss-Protection:  1; mode=block
Last-Modified: Thu, 28 May 2020 13:03:49 GMT
ETag: "321d68-5a6b4f5af9dbb"
Accept-Ranges: bytes
Content-Length: 3284328
Cache-Control: max-age=12960000
Expires: Thu, 01 Apr 2021 14:19:16 GMT
Strict-Transport-Security: max-age=63072000; includeSubDomains; preload
Referrer-Policy: no-referrer-when-downgrade
X-Content-Type-Options: nosniff
Content-Security-Policy: default-src http: https: data: blob: 'unsafe-inline' 'unsafe-eval' https://api.maptiler.com; object-src 'none'
Content-Type: application/pdf

Welcher ist / welche sind da relevant? Ich nehme an Content-Security-Policy? Aber was bedeuten die Angaben?

 

[Marcel Bresink]

Die Details stehen in der Spezifikation von CSP. Die letzte Klausel "object-src 'none'" bedeutet im Prinzip, dass überhaupt keine fremden Objekte hinzugeladen werden dürfen.