CSP Browser Test:
https://content-security-policy.com/browser-test/
NGINX Content-Security-Policy Headers – gute Seite mit vielen Details:
https://content-security-policy.com/examples/nginx/
NGINX
Leider kann man in WordPress nicht die höchste Sicherheitsstufe fahren, da das CMS dann leider nicht mehr funktioniert. Ob sich das mal ändert – who knows?
Die höchste Stufe wäre ein +A. Unter WordPress können wir aber immerhin ein B+ erreichen.
Zu testen unter:
oder Mozilla:
https://observatory.mozilla.org/
Folgendes Snippet in deine Webhost NGINX Direktive einpflegen:
add_header X-Frame-Options "SAMEORIGIN" always;
add_header X-XSS-Protection "1; mode=block" always;
add_header X-Content-Type-Options "nosniff" always;
add_header Referrer-Policy "strict-origin-when-cross-origin" always;
add_header Content-Security-Policy "default-src * data: 'unsafe-eval' 'unsafe-inline'" always;Apache
Unter Apche bitte folgendes:
<IfModule mod_headers.c>
Header always set X-Frame-Options "SAMEORIGIN"
Header always set X-XSS-Protection "1; mode=block"
Header always set X-Content-Type-Options "nosniff"
Header always set Referrer-Policy "strict-origin-when-cross-origin"
Header always set Content-Security-Policy "default-src * data: 'unsafe-eval' 'unsafe-inline'"
</IfModule>