Content Security Policy

Beispiele

# Unsicheres Inline/Eval deaktivieren, nur das Laden von Ressourcen (Bilder, Schriftarten, Skripte usw.) über https zulassen

# Beachten Sie, dass dies keinen XSS-Schutz bietet Content-Security-Policy: default-src https:-- Machen Sie dasselbe, aber mit einem meta-Tag -- (meta http-equiv="Content-Security-Policy" content="default-src https:") 

# Deaktivieren Sie die Verwendung von unsicherem Inline/Eval, erlauben Sie alles andere außer der Plugin-Ausführung Content-Security-Policy: default-src *; object-src 'none' 

# Unsicheres Inline/Eval deaktivieren, nur Ressourcen vom gleichen Ursprung laden, außer auch Bilder von imgur zulassen

# Deaktiviert auch die Ausführung von Plugins Content-Security-Policy: default-src 'self'; img-src 'self' https://subdomain.dasler.eu; object-src 'none' 

# Deaktiviere unsichere Inline/Eval und Plugins, lade nur Scripts und Stylesheets von gleichem Ursprung, Schriftarten von Google, und Bilder vom gleichen Ursprung und dasler. Websites sollten solche Richtlinien anstreben. Content-Security-Policy: default-src 'none'; font-src https://fonts.gstatic.com; img-src 'self' https://dasler.eu; object-src 'none'; script-src 'self'; style-src 'self' 

# Vorhandene Website, die zu viel Inline-Code zum Beheben verwendet möchte aber sicherstellen, dass Ressourcen nur über https geladen werden und Plugins deaktivieren Content-Security-Policy: default-src https: 'unsafe-eval' 'unsafe-inline'; object-src 'none' 

# Implementieren Sie die obige Richtlinie noch nicht; Melden Sie stattdessen einfach Verstöße, die aufgetreten wären Content-Security-Policy-Report-Only: default-src https:; report-uri /csp-violation-report-endpoint/ 

# Deaktivieren Sie das Laden aller Ressourcen und deaktivieren Sie das Framing, was für die Verwendung von APIs empfohlen wird Content-Security-Policy: default-src 'none'; frame-ancestors 'none'