Content Security Policy

Aus Datenschutzgründen werden auf freiwuppertal.de nur noch Bilder und Skripte eingebunden, die vom Freiwuppertal-Server selbst stammen.

  • YouTube-Videos werden als einfache Links dargestellt,
  • Schriftarten werden nicht von Google Fonts geladen,
  • extern eingebundene Smileys werden nicht dargestellt,
  • Cookies von Drittanbietern werden blockiert.

Ich halte das für einen lange überfälligen Schritt, der sich aber normalerweise nicht einfach umsetzen lässt. Die hier eingesetzte Blog-Software WordPress bietet keine solche Option an. Daher nutze ich den folgenden Apache2-Konfigurationscode, um das Problem auf allen Unterseiten zu lösen:

Header always set Content-Security-Policy "upgrade-insecure-requests; default-src 'self' https://*.freiwuppertal.de https://freiwuppertal.de 'unsafe-inline' 'unsafe-eval' data:;"

Es handelt sich hierbei um eine Anweisung an den Browser, externe Skripte selbst dann nicht zu laden, falls diese auf der Seite eigentlich vorhanden sind. Diese Einschränkungen haben per Definition Vorrang gegenüber den lockeren Regelungen, die von WordPress mitgeliefert werden.

Falls Probleme auftauchen oder ich etwas übersehen habe, bitte ich um eine kurze Benachrichtigung per E-Mail. Vielen Dank!