Ergebnisse für https://monitor.firefox.com/

Gesetzte Content Security Policy im HTTP Header: base-uri 'none'; connect-src 'self' https://code.cdn.mozilla.net/fonts/ https://www.google-analytics.com https://accounts.firefox.com https://profile.accounts.firefox.com; font-src 'self' https://fonts.gstatic.com/ https://code.cdn.mozilla.net/fonts/; frame-ancestors 'none'; media-src 'self'; img-src 'self' https://www.google-analytics.com https://firefoxusercontent.com https://profile.accounts.firefox.com; object-src 'none'; script-src 'self' https://www.google-analytics.com/analytics.js; style-src 'self' https://code.cdn.mozilla.net/fonts/; report-uri /__cspreport__

Eine Content Security Policy (CSP) ohne 'unsafe-inline' oder 'unsafe-eval' gefunden

Status Test Infos Schutz vor Clickjacking durch frame-ancestors

Die Verwendung der CSP frame-ancestors Direktive bietet eine genaue Kontrolle darüber, wer eine Seite in einem Frame verwenden darf.

Zeigen Verbiete zuerst alles mit der Standardeinstellung default-src 'none'

Alles mit der Standardeinstellung default-src 'none' pauschal zu verbieten, stellt sicher, dass keine unerwünschten Ressourcen in Deine Content Security Policy aufgenommen werden, die Du nicht wolltest.

Zeigen Eingeschränkte Verwendung von <base> durch base-uri 'none', base-uri 'self', oder spezifizierten Quellen

Das base Tag kann eine Webseite austricksen, um Skripte aus nicht vertrauenswürdigen Quellen zu laden.

Zeigen Beschränkt die Übermittlung von <form> Inhalten durch form-action 'none', form-action 'self', oder spezifische URIs Zeigen Blockiert das Laden aktiver Inhalte via HTTP oder FTP Zeigen Blockiert das Laden passiver Inhalte via HTTP oder FTP

Die CSP dieser Seite erlaubt das Laden von Inhalten wie Bilder oder Videos über die unsicheren Protokolle HTTP oder FTP. Diese sollten besser über HTTPS geladen werden.

Zeigen Benutzt die CSP3 Direktive 'strict-dynamic' für dynamische Skripte (optional) Zeigen Blockiert die JavaScript-Funktion eval() indem 'unsafe-eval' innerhalb script-src nicht erlaubt wird Zeigen Blockiert Ausführung von Inline JavaScripts durch Verhindern von 'unsafe-inline' innerhalb script-src Zeigen Blockiert Inline-Stilvorlagen durch Verhindern von 'unsafe-inline' innerhlab style-src

Mit dem Blockieren von Inline-Styles können Manipulationen von Inhalten durch Angreifer unterbunden werden. Das Einbinden aus externen Style-Sheets kann die Wartbarkeit einer Webseite verbessern.

Zeigen Verhindert das Ausführen von Plug-Ins durch Setzen von object-src Beschränkungen

Das Blockieren von Plug-Ins mit object-src 'none' oder durch Vererbung aus default-src hält einen Angreifer davon ab, Flash oder Java im Kontext einer Website auszuführen.

Zeigen

Die Tests für Content Security Richtlinen basieren auf dem Scanner des Mozilla HTTP Observatory Projektes (Mozilla Public License 2.0) von April King, von uns für Webbkoll implementiert. Die Beschreibungstexte sind von der Mozilla Observatory Website entnommen, CC-BY-SA 3.0. Für Fehler oder Ungenauigkeiten sind wir verantwortlich.

Similar Articles:

School of Privacy - schoolofprivacy/TUMBLR enabled SSL support for blogs!

School of Privacy - schoolofprivacy/TUMBLR enabled SSL support for blogs!

Free & Open Source Software (FOSS) | Go Incognito 1.4

Free & Open Source Software (FOSS) | Go Incognito 1.4

Why Using HTTPS is so Important for Your Website

Why Using HTTPS is so Important for Your Website

Bundesdatenschützer warnt vor WhatsApp

Bundesdatenschützer warnt vor WhatsApp