Hallo Christian,

ja, mein Arbeitgeber bricht ebenfalls HTTPS auf und re-signiert (resigniert liest sich merkwürdig) es mit dem eigenen Zertifikat. Und natürlich bekommen alle Computer in der Firmen-Domain das Firmenzertifikat als "natüüüürlich vollkommen vertrauenswürdig" aufgedrückt.

Aber wenn das jemand tut, kann er auch die CSP-Header fälschen. Ob das ein Browser oder Browser-Plugin, der/das Werbung blocken oder hinzufügen möchte, auch tun kann? Weiß nicht. Ein Browser kann es bestimmt. Da ist CSP keine Hilfe.

Weißt Du, ob CSP gegen die von mir erwähnten Bookmarklets hilft? Das ist mir gerade zu umständlich zu probieren (deswegen die Frage nach Wissen, nicht nach "kannst Du mal probieren"). Wenn nicht, bleibt CSP nur als zweite Verteidigungslinie gegen schlecht programierte Server.

Rolf