Content Security Policy

Aus Datenschutzgründen werden auf freiwuppertal.de nur noch Bilder und Skripte eingebunden, die vom Freiwuppertal-Server selbst stammen.

  • YouTube-Videos werden als einfache Links dargestellt
  • Schriftarten werden nicht von Google Fonts geladen
  • Extern eingebundene Smileys werden nicht dargestellt
  • Cookies von Drittanbietern werden blockiert

Ich halte das für einen lange überfälligen Schritt, der sich aber normalerweise nicht einfach umsetzen lässt. Die hier eingesetzte Blog-Software WordPress bietet keine solche Option an. Daher nutze ich den folgenden Apache2-Konfigurationscode, um das Problem auf allen Unterseiten zu lösen:

Header always set Content-Security-Policy "upgrade-insecure-requests; default-src 'self' https://*.freiwuppertal.de https://freiwuppertal.de 'unsafe-inline' 'unsafe-eval' data:;"

Es handelt sich hierbei um eine Anweisung an den Browser, externe Skripte selbst dann nicht zu laden, falls diese auf der Seite eigentlich vorhanden sind. Diese Einschränkungen haben per Definition Vorrang gegenüber den lockeren Regelungen, die von WordPress mitgeliefert werden.

Falls Probleme auftauchen oder ich etwas übersehen habe, bitte ich um eine kurze Benachrichtigung per E-Mail. Vielen Dank!

Plone –> WordPress

Diese Haupt-Webseite ist seit Jahren nicht mehr der wichtigste Teil von freiwuppertal.de; der gesamte Inhalt verteilt sich auf die Subdomains (Blog, Musik etc.), die auf der Titelseite „freiwuppertal.de“ verlinkt werden. Wichtig für die Subdomains ist momentan vor allem das hier verwaltete zentrale Impressum, auf das alle Subdomains verweisen. Dafür lohnt sich der Betrieb eines Plone-Servers eigentlich nicht, und ich habe WordPress verwendet, um mit relativ wenig Aufwand alles zu erneuern.