CSP Content-Security-Policy Header

205 0 0 Thomas Fischer 4. März 2024

CSP Browser Test:

https://content-security-policy.com/browser-test/

NGINX Content-Security-Policy Headers – gute Seite mit vielen Details:

https://content-security-policy.com/examples/nginx/

NGINX

Leider kann man in WordPress nicht die höchste Sicherheitsstufe fahren, da das CMS dann leider nicht mehr funktioniert. Ob sich das mal ändert – who knows?

Die höchste Stufe wäre ein +A. Unter WordPress können wir aber immerhin ein B+ erreichen.

Zu testen unter:

https://www.webpagetest.org/

oder Mozilla:

https://observatory.mozilla.org/

Folgendes Snippet in deine Webhost NGINX Direktive einpflegen:

add_header X-Frame-Options "SAMEORIGIN" always;
add_header X-XSS-Protection "1; mode=block" always;
add_header X-Content-Type-Options "nosniff" always;
add_header Referrer-Policy "strict-origin-when-cross-origin" always;
add_header Content-Security-Policy "default-src * data: 'unsafe-eval' 'unsafe-inline'" always;

Apache

Unter Apche bitte folgendes:

<IfModule mod_headers.c>
Header always set X-Frame-Options "SAMEORIGIN"
Header always set X-XSS-Protection "1; mode=block"
Header always set X-Content-Type-Options "nosniff"
Header always set Referrer-Policy "strict-origin-when-cross-origin"
Header always set Content-Security-Policy "default-src * data: 'unsafe-eval' 'unsafe-inline'"
</IfModule>

Wiki - FAQs - Knowledge Base

CSP Content-Security-Policy Header

NGINX

Apache

Mehr Freiraum mit SMARTinONE^®

PRODUKTE

SERVICE

SOCIAL MEDIA