Nach sehr langem Suchen nach dem Übeltäter der es verhindert das externe Skripte und Bilder geladen werden, haben wir überraschend das Cookie-Plugin ausgemacht.
Das Plugin "CookieHint and Consent " hat die Funktion "Cookieblocker" welcher einmal "nur Cookies" und einmal "Cookies und ext. Quellen (Content-Security-Policy)" zur Auswahl hat.
Wird letzteres aktiviert, setzt das Plugin den Security-Header "Content-Security-Policy" mit den Werten "default-src 'self' 'unsafe-inline'"
Eine Weitere Quelle findet sich in der Joomla Konfiguration
Im Tab "Server" gibt es den Eintrag "Web Services" und dort "
- Access-Control-Allow-Origin *
- Access-Control-Allow-Headers Content-Type,X-Joomla-Token,Authorization
- Access-Control-Allow-Methods GET, POST, PUT, DELETE, OPTIONS
Diese Header müssen bei der Verwendung von Amazon S3 Buckets oder anderen externen Quellen aktiviert und angepasst werden.
