Wollte es gerade noch nachtragen:

Nach dem Test gibt der Observer von Mozilla Tipps, was man noch anstellen kann. z.B. Hashs von Skripten und allem, was per src=... geladen wird, bilden und diese mittels integrity="Hashverfahren-Hash" in die Webseite einbauen (Das macht aber nicht „Muh“, sondern absurd viel Mühe und kann die Webseite lahm legen... gerade das gezeigte Bespiel birgt diese Gefahr unter mehreren Aspekten: Skript vom CDN, könnte mal gepacht werden ... Peng!)