Content Security Policy

DruckversionPDF version

Sie unterbinden das Laden aus fremden Quellen mit folgenden Angaben in Ihrer .htaccess:

#Content Security Policy
Header set Content-Security-Policy "default-src 'none'; frame-src 'self'; font-src 'self'; img-src 'self'; script-src 'self'; style-src 'self';"

#HTTP Content-Types
AddCharset UTF-8 .html

#Strict-Transport-Security
Header set Strict-Transport-Security "max-age=31536000; includeSubDomains"

#X-Content-Type-Options
Header always set X-Content-Type-Options "nosniff"

#X-Frame-Options
Header always set X-Frame-Options "SAMEORIGIN"

#X-Xss-Protection
Header always set X-Xss-Protection "1; mode=block"

#Referrer-Policy
Header set Referrer-Policy "strict-origin"

Achtung: Die Angaben script-src 'self'; style-src 'self';" verhindern auch die Ausführung von inline css und inline Javascript.

Eine genauere Beschreibung der Content Security Policy finden Sie bei SIWECOS