L'intestazione impedisce ai file di risorse di essere caricati da qualsiasi luogo tranne il dominio di origine.
Tuttavia, non impedirà i dirottamenti man-in-the-middle o del browser che potrebbero inserire in modo dinamico modifiche alla pagina stessa, dal momento che questi non stanno tentando di caricare un file di risorse separato per quanto riguarda il browser.
Header set Content-Security-Policy "default-src 'self'"
È in effetti la corretta voce .htaccess di Apache.
Per evitare i dirottamenti MiTM, è necessario assicurarsi che tutte le risorse siano consegnate crittografate su HTTPS. Utilizza il blocco dei certificati per impedire la decodifica MiTM.
Per evitare i dirottamenti del browser, assicurati innanzitutto che tutti i client abbiano un solido blocco degli annunci installato e aggiornato (se sei su una rete controllata, fallo a livello di rete). Ciò evita i dirottamenti drive-by che sono sempre più comuni. Altre forme provengono da malware sul PC, quindi assicuratevi che gli utenti abbiano costantemente aggiornato l'antivirus e conoscano attacchi come il phishing, non aprendo documenti non attendibili e non eseguendo mai applicazioni a meno che non siano noti. la solita roba di sicurezza del cliente.