Was ist eine Content Security Policy (CSP)?

Ein HTTP-Header, der dem Browser sagt, welche Ressourcen geladen werden dürfen. Webeos CSP erlaubt nur eigene Scripts: externe Tracker und Scripts sind blockiert.

Externe Tracker, Fonts oder Widgets werden technisch blockiert: auch wenn sie bspw. via Blog-Content in den Seitenquelltext gelangen. Der Browser lädt sie schlicht nicht.

Der Schutz wirkt damit nicht nur als Datenschutz-Layer, sondern auch als zweite Verteidigungslinie gegen XSS-Angriffe: Selbst wenn jemand bösartiges JavaScript einschleusen würde, könnte es keine Daten an externe Server schicken. Das Resultat ist eine Site, die strukturell nicht „leaken" kann.