Legge til CSP-header med .htaccess

/post - Offentliggjort: 8/16/2022

For en god oversikt over CSP, se MDN.

Slik kan vi sette en header for å legge til CSP:

<IfModule mod_headers.c>
  Header set Content-Security-Policy "default-src 'self' cdn.jsdelivr.net"
</IfModule>

Her har vi lagt til en header som kun tillater innhold fra eget domene, samt fra CDN-tjenesten cdn.jsdeliver.net. Dette gjør blandt annet at forsøk på direkte injeksjon av JavaScript for å trigge en XSS-sårbarhet (cross-site scripting) vil bli blokkert av nettleseren.