Content-Security-Policy (CSP) richtig implementieren
Hey liebe Community,
wir versuchen, unsere Websites auf ein A+ bei der Sicherheitsbewertung zu bekommen (bspw. https://securityheaders.io). Von der Grundinstallation von Contao 4.13 aus ist die Bewertung schon echt gut mit "A". Für das Plus fehlt aber noch die Content-Security-Policy, sagt er.
Online konnte ich nur das hier finden:
https://github.com/contao/contao/issues/1174
Da bekomme ich in der Bewertung dann aber:
Code:
This policy contains 'unsafe-inline' which is dangerous in the default-src directive.
Leider konnte ich nirgends eine einfache Anleitung finden, wie man Contao mit dem CSP-Header richtig absichert. Der Weg über nelmio_security scheint mir plausiebel, aber eigentlich müsste der doch strenger eingestellt sein, als auf Github beschrieben.
Die contao.org bekommt ein A+ ohne diese Warnung. Kann mir vielleicht jemand einfach hier posten, was dort für Einstellungen vorgenommen werden? (Grundsätzlich wäre natürlich um so cooler, wenn Contao diese Einstellungen schon von Haus aus fertig eingebaut hätte ;)
DANKE EUCH!