Hallo!

Die Testseiten

https://webpagetest.org/

https://webbkoll.dataskydd.net/

meckern beide auf meiner Seite

https://schindel-schwinger.flohheim.de/

einen fehlenden Content-Security-Policy-Header an. Also so was wie:

<meta http-equiv="Content-Security-Policy" content="script-src 'self'">

Das irritiert mich etwas, da ich auf meinen Seiten keine Scripte (auch keine fremden Scripte von irgendwo) laufen habe.

Wenn ich mich über CSP-Header informiere steht da immer so was ähnliches wie:

…hilft BEISPIELSWEISE gegen "Cross Site Scripting (XSS) und Data-Injection-Angriffen"… also hilft es auch gegen "was anderes"?

Haben diese Dienste meine Seite jetzt genau untersucht und meckern trotz fehlender Scripte, weil diese Option tatsächlich sinnvoll ist (wofür zum Beispiel)? Oder geben die einfach grundsätzlich die Meldung ohne Prüfung raus, weil die meinen es gäbe keine Websites ohne Skripte?

Brauche ich das jetzt oder ist das Unsinn?

Grüße, Horst