Guten Abend,
Frage in die Runde - gab es schon Einigkeit, dass es ok ist per Content-Security-Policy Header Google Analytics , Google Fonts, etc. zu blockieren?
Referenzen wären super…
Viele Grüsse
Stefan
Ich würde sagen das wäre kein Problem.
Allerdings würdest du ja dein eigenes Tracking blockieren - da wäre es doch besser Google Analytics etc. gleich auszubauen.
Oder verstehe ich da was falsch.
CSP Header kann man zB über eine WAF reinhängen.
- Übergangslösung bis die Site redesigned wurde…
Chapeau, das ist in der Tat ein äußerst interessanter Ansatz. Eine kleine Gefahr besteht, denn letztlich obliegt es dem Browser die CSP tatsächlich auch anzuwenden (insb. bei älteren Browsern bin ich gerade nicht sicher).
Hmm…
Hier hat jemand eine Übersicht gemacht welche Browser die CSP unterstützen - https://caniuse.com/contentsecuritypolicy
Die ganz alten Browser sollten bei TLS 1.2 und 1.3 schon nicht mehr dabei sein.
- Oder weiss jemand etwas anderes hierzu?
Viele Grüsse
Stefan