Welche Einstellung nutzt Ihr, damit das ganze System sicherer wird.
Wenn ich dies in den Header mache, zerschießt es mit das Style.
Header set Content-Security-Policy "default-src 'none'; frame-src 'self'; font-src 'self';img-src 'self' siwecos.de; object-src 'self'; script-src 'self'; style-src 'self';"
Wenn ich dies eingebe, geht es, aber ist dann wohl nicht ganz so sicher:
Header set Content-Security-Policy "default-src https: data: 'unsafe-inline' 'unsafe-eval' 'self' meine-Domain.de"
Da erhalte ich bei SIWECOS.de folgende Meldung
Überprüfung der Content Security Policy (CSP)
Mehr Informationen
Content Security Policy unsicher
Die Content-Security-Policy ist eine strukturierte Vorgehensweise, welches das Injizieren und Ausführen von evtl. bösartigen Befehlen in einer Webanwendung (Injection-Angriffe) mildern soll. Es stellt über eine Whitelist dar, von welchen Quellen z.B. Javascript, Bilder, Schriftarten und andere Inhalte auf Ihrer Seite eingebunden werden dürfen.
- Der Header ist unsicher gesetzt, da er `unsafe-inline`- oder `unsafe-eval`-Direktiven enthält.