Inline script vermeiden
Autore: Bernhard K.Hallo zusammen
mit dem Erscheinen von WSX5 v15 hatte ich gehofft, dass ein leidiges Problem behoben wird: die Verwendung von inline-javascripts.
So baut WSX5 z.B. in jede root-html-datei folgendes ein
<script type="text/javascript">
window.onload = function(){ checkBrowserCompatibility('Der von Ihnen verwendete Browser unterstützt nicht die die Funktionen, die für die Anzeige dieser Website benötigt werden.','Der von Ihnen verwendete Browser unterstützt möglicherweise nicht die die Funktionen, die für die Anzeige dieser Website benötigt werden.','[1]Browser aktualisieren[/1] oder [2]Vorgang fortsetzen[/2].','http://outdatedbrowser.com/'); };
x5engine.utils.currentPagePath = 'index.html';
x5engine.boot.push(function () { x5engine.imPageToTop.initializeButton({}); });
</script>
und viele Website-Testprogramme monieren das. Wenn ich dann eine Content-Security-Policy am Server einrichte, dann muss ich den Parameter 'unsafe-inline' angeben und das schafft eine Sicherheitslücke.
Inline-scripts sind doch eher ein no-go
Danke
Bernhard
Ja, für JS und CSS müss eine separate Datei angelegt werden.
CSS und JS DAteien kann man extra einbinden wenn man will.
NAtürlich meutern die Testprogramme weil sie so konzipiert sind, dass man jeden Code in eine DAtei packen soll und noch komprimiert dazu. Das ist aber manchmal nicht möglich.
Mir geht es da eher direkt um google Andreas, denn Seiten die saubere Funktionen nach deren Richtlinien aufweisen, werden im Vergleich einfach besser gerankt.
Du schreibst "Website-Testprogramme" ! WElche denn? Weil die von Google werden die Seiten von WSX5 nicht runtersetzen weil gewisse Testprogramme so derartig streng eingestellt sind, dass man sich an diese wenden soll, um teuer die Korrektur zu kaufen.
Autore
Es geht mir weniger um das Ranking. Die Bewertungstools (dareboost, PageSpeed Insights, nibbler, Seobility, etc.) bewerten ja nicht nur die Website sondern das drumrum, also vorgeschaltene Servereinstellungen. Hier ist in punkto Sicherheit die Content-Security-Policy von entscheidender Bedeutung, um z.B Cross Site Scripting-Angriffe zu blockieren. Inline-Scripts, wie sie WSX5 immer noch verwendet, erfordern bei der CSP den Parameter 'unsafe-inline', da sonst manche Elemente einer Seite evtl. nicht wie gewünscht funktionieren. Warum heißt der CSP-Parameter wohl 'unsafe-inline'?
Die enstehende Sicherheitslücke macht die Seite anfällig für XSS-Angriffe. Sie läßt sich zwar kleiner machen (nonce-Parameter oder sha-Schlüssel), aber das bedeutet zusätzlichen Aufwand.
Wie Uwe richtig anmerkt, wäre saubere Programmierung wünschenswert, vor allem Trennung von Inhalt und Ausführung. Das wäre mein Wunsch an Incomedia, dann muss der Anwender nicht nacharbeiten.
Euch noch eine schöe Woche
Bernhard
Der Andreas hat in dem völlig Recht, dass die diversen Testprogramme sehr unterschiedlich in der Wahrnehmung sind.
Aber: Wenn die Suchmaschine, auf die es ankommt, Fehler, bzw. nötige Verbesserungen bzgl. der Seite aufzeigt, darf man sich dem einfach nicht wiedersetzen.
In der neuen Search Console wird z.B. die "www.meineseite.com" als Dublikat zur "www.meineseite.com/index.html" gesehen und somit ist (wird) das ein negativer Rankingfaktor.
Ich habe die Problematik bereits an die Entwickler weiter gegeben.
Meiner Meinung nach muss WSX5 alle geforderten OnPage - Kriterien zu 100% erfüllen.
HAst du in der URL der WEbsite "www.deineseite.com/index.html stehen? ODer ein INTRO vorgeschaltet wo es eine index.php gibt und du noch einen Altbestand der der index.html am Server hast?
Nein Andreas, die URL der Webseite lautet: https://meineseite.com - und die HomeSeite (Sitemap) ist die https://meineseite.com/index.html
Die 301 Weiterleitungen von ohne und mit www auf die https://meineseite.com sind auch korrekt. Es wurde auch keine index.php erstellt, oder ein Intro vorgeschaltet.
Teste mal:
https://www.incomedia.eu/de/
und
https://www.incomedia.eu/de/index.html
.... leitet auf die gleiche Seite, das machen wahrscheinlich alle in WSX5 erstellten Seiten. das sieht Goggle nun als doppelten Inhalt.
Beispiel:
https://www.markt.de/
und
https://www.markt.de/index.html
... richtigerweise 404
--------------------------------
Seiten, die nach dem Google Update den genannten Fehler aufweisen, werden definitiv schlechter bis garnicht gerankt. Zumindest was meinen direkten Wettbewerb an geht, da sieht man das nun ganz deutlich.
Unverschlüsselte Seiten - und eben die mit dem doppelte Content, wurden extrem abgestraft.
Ich habe 70% an Sichtbarkeit verloren, was dann quasi null Google-Besucher beinhaltet. Bei Bing, Yahoo usw. ist alles wie gehabt. Also, ich bin einer der wenigen, die im Moment durch Bing mehr Besucher bekommen, als mit Google ;)
-------------------------------
Seit einigen Jahren wird auch das hier vom @Bernhard benannte Thema immer mal wieder angesprochen - und es ändert sich nichts.
SEO muss für eine Software, die Webseiten erstellt, die in Suchmschinen gefunden werden wollen, ein echtes Kernthema sein.
Ich gehe jede Weitte ein, dass zeitnah (weil von Google angekündigt) insbesondere der Mobile Pagespeed ganz starkt gewichtet wird, wenn nicht schon beim letzten Core Update geschehen.
Den einzigen Autohändler im Umkreis von 50 KM wird das nicht jucken. Aber Webmaster, die sich in einem straffen Wettbewerb befinden, werden enorme Nachteile haben, wenn die Konkurrenz sauberer und schneller unterwegs ist.
Gruss in die Nacht
Nachtrag: Die index.html wird in der Sitemap übermittelt und als doppelter Content der URL angesehen.
Nachtrag Markt: https://www.markt.de/index.html > Weiterleitung zur URL.
https://www.markt.de/index.php natürlich
.. schon zu lange wach ;)