Erst mal vielen Dank für eure Antworten!

Es scheint also tendenziell sinnvoll zu sein CSP&Co einzusetzen. Ich habe mich dafür entschieden, es erst mal mit der .htacess-Datei zu versuchen und habe einfach zum testen folgendes angehängt:

Header add Content-Security-Policy "default-src 'self';"

Hat mich aber nur auf Rating C gebracht… also noch das hier dran gehangen:

Header always set X-Frame-Options "deny"

Ging dann auf B hoch… erst ein weiteres:

Header set X-Content-Type-Options "nosniff"

Hat mich dann endlich auf A gebracht…

Konsequenzen waren erst mal wenige zu sehen. Das es die Wetteronline-Snippets auf einigen meiner Gammel-Websites nicht mehr getan haben, war ja klar… allerdings hat es meine Nextcloud-Installation stark mitgenommen (hätte ich mir ja auch denken können)…

Also erst mal alles wieder rückgängig gemacht. Ich überlege noch, ob ich mich jetzt tiefer in die .htacess-Datei-Innereien wühle, um zu versuchen meine Nextcloud-Installation irgendwie auszuschließen oder ob ich den Kram doch in die Header der Seiten übernehme (was ich sehr ungerne tun würde)…

Lg, Bimmelbeule