Hallo zusammen,

ich bin neu in diesem Forum und konnte noch keine ähnliche Frage zu diesem Thema finden.

Zu meiner Frage: Ich nutze ein Soundcloud-Widget auf einer Homepage und habe ihm folgende CSP-Eigenschaften gegeben:

<iframe sandbox="allow-same-origin allow-scripts" ....>

Das Widget nutzt folgende Skripte: soundcloud.com, sndcdn.com (beide essenziell für die Funktion des Widgets), scorecardresearch.com und google-analytics.com. Die letzten beiden würde ich gerne blockieren. Aber geht das?

Ich habe auf der Seite selber folgenden Header eingefügt:

<meta http-equiv="Content-Security-Policy" content="script-src 'self'">

Aber die Skripte aus den iframes werden trotzdem ausgeführt, so als ob ich sie mit dem Header meiner Seite nicht erreichen könnte. Ich kann also, wenn ich das richtig sehe, nur alle Skripte in den iframes blockieren oder alle Skripte zulassen. Oder gibt es noch eine andere Möglichkeit?

Ich habe mich auch gerade erst in die CSP-Thematik eingelesen und kenne mich noch nicht sehr gut damit aus. Deshalb würde ich mich über ein paar Tipps freuen! :-)

Schonmal danke und liebe Grüße