> Gibt es hierzu irgendwo Erläuterungen, die das Problem verständlich skizzieren? Ja. Und ich habe die die Empfehlungen mal „durchgezogen“, obwohl es für diese Seite nicht notwendig ist (kein User-generierter Inhalt): <https://developer.mozilla.org/en-US/observatory/analyze?host=code.fastix.org#csp> Dort steht auch, Weshalb welche Einstellung was weshalb wie wirkt. (Ich hab [A+] geschafft, das Online-Banking einer deutschen Bank kommt übrigens nur auf [B]) > Gibt es ggfs. auch eine Web-Seite, die veranschaulicht, wie sich die unterschiedlichen CSP setting für style-src auf die Darstellung auswirken? Ganz einfach: Wenn es „verboten“ wird ignoriert der Browser das. Und was sich wie ändert hängt also von der Webseite ab. Das Inline-Zeug ist dann weg. Eigentlich soll das gefährliche Zeug aus dem User- oder Dritt-Content schon von Server weggefiltert werden, aber die Browserhersteller haben da - völlig zu Recht (siehe unten) - offensichtlich kein Vertrauen. Das ist also **nur eine letzte, sehr schwache Verteidigungsline**. Aber wenn jede Bank vermeint auf ihrem Webautritt einen Chat haben zu müssen (in den man „bunt“ schreiben und Smileys einfügen kann) kann keine(r) mehr sagen, welche Libarys (Server- und Cklientseitig) da welche Libarys benutzen und wie „sicher“ das ganze Zeug dann noch sein kann, muss diese letzte, sehr schwache Verteidigungsline sein.

> Gibt es hierzu irgendwo Erläuterungen, die das Problem verständlich skizzieren? Ja. Und ich habe die die Empfehlungen mal „durchgezogen“, obwohl es für diese Seite nicht notwendig ist (kein User-generierter Inhalt): <https://developer.mozilla.org/en-US/observatory/analyze?host=code.fastix.org#csp> Dort steht auch, Weshalb welche Einstellung was weshalb wie wirkt. (Ich hab [A+] geschafft, das Online-Banking einer deutschen Bank kommt übrigens nur auf [B]) > Gibt es ggfs. auch eine Web-Seite, die veranschaulicht, wie sich die unterschiedlichen CSP setting für style-src auf die Darstellung auswirken? Ganz einfach: Wenn es „verboten“ wird ignoriert der Browser das. Und was sich wie ändert hängt also von der Webseite ab. Das Inline-Zeugg ist dann weg. Im Übrigen ist das **nur eine letzte, sehr schwache Verteidigungsline**. Aber wenn jede Bank vermeint auf ihrem Webautritt einen Chat haben zu müssen (in den man „bunt“ schreiben und Smileys einfügen kann) kann keine(r) mehr sagen, welche Libarys (Server- und Cklientseitig) da welche Libarys benutzen und wie „sicher“ das ganze Zeug dann noch sein kann, muss diese letzte, sehr schwache Verteidigungsline sein.

> Gibt es hierzu irgendwo Erläuterungen, die das Problem verständlich skizzieren? Ja. Und ich habe die die Empfehlungen mal „durchgezogen“, obwohl es für diese Seite nicht notwendig ist (kein User-generierter Inhalt): <https://developer.mozilla.org/en-US/observatory/analyze?host=code.fastix.org#csp> Dort steht auch, Weshalb welche Einstellung was weshalb wie wirkt. (Ich hab [A+] geschafft, das Online-Banking einer deutschen Bank kommt übrigens nur auf [B]) > Gibt es ggfs. auch eine Web-Seite, die veranschaulicht, wie sich die unterschiedlichen CSP setting für style-src auf die Darstellung auswirken? Ganz einfach: Wenn es „verboten“ wird ignoriert der Browser das. Und was sich wie ändert hängt also von der Webseite ab. Das Inline-Zeugg ist dann weg. Im Übrigen ist das **nur eine letzte, sehr schwache Verteidigungsline**. Aber wenn jede Bank vermeint auf ihrem Webautritt einen Chat haben zu müssen (in den man „bunt“ schreiben und Smileys einfügen kann) kann keine(r) mehr sagen, welche Libarys (Server- und Cklientseitig) da welche Libarys benutzen und wie „sicher“ das ganze Zeug dann noch sein kann, muss diese letzte, sehr schwache Verteidigungsline sein.