Het is verstandig om CSP toe te passen op je site. Dit is verreweg de krachtigste, maar ook de moeilijkste beveiliging van je website. Als je die verkeerd instelt, kan je site ‘stuk’ gaan (bijvoorbeeld: Google Analytics of YouTube-filmpjes laden niet meer).Een voorbeeld van een CSP die we kunnen plaatsen in htaccess of kunnen opnemen in onze security instellingen:
<IfModule mod_headers.c>
Header set Content-Security-Policy " \
default-src 'self'; \
script-src 'self' 'unsafe-inline' 'unsafe-eval' *.deherenvan.nl; \
style-src 'self' 'unsafe-inline'; \
img-src 'self' data: https://secure.gravatar.com; \
font-src 'self' data:; \
connect-src 'self' *.deherenvan.nl; \
media-src 'self'; \
object-src 'none'; \
frame-src 'self' https://calendar.google.com https://calendar.app.google; \
worker-src 'self' blob:; \
manifest-src 'self'; \
base-uri 'self'; \
frame-ancestors 'self'; \
upgrade-insecure-requests; \
"
</IfModule>Een Youtube filmpje zal nu niet werken maar een iframe met daarbinnen een afspraken kalender van Googel is wel toegestaan.
