Um die Sicherheit von Webanwendungen zu erhöhen, ist es gute Praxis HTTP-Security-Headers zu verwenden. Hierzu gehört unter anderem der Content-Security-Policy Header (CSP).
Um den Trackingcode auf einem Server mir aktiviertem CSP zu verwenden, muss der CSP-Header folgendermaßen gesetzt werden:
Header set Content-Security-Policy "script-src 'self' https://.etracker.com https://.etracker.de 'unsafe-inline'; connect-src https://*.etracker.de"
Bei Verwendung der Scrollmap oder des Optimisers sollte zudem noch das Einbetten in einen iframe erlaubt werden:
Header set Content-Security-Policy "frame-ancestors https://*.etracker.com; script-src 'self' https://*.etracker.com https://*.etracker.de 'unsafe-inline'; connect-src https://*.etracker.de"
Hinweis:
Die Einschränkung „unsafe-inline“ kann aufgehoben werden, wenn der etracker Parameter-Block in der Webseite und die CSP bei der Auslieferung der Seite mit dem gleichen, zufällig erzeugten Nonce versehen werden. Bei dieser restriktiven Einbindung von etracker ist jedoch nur die Nutzung von etracker Analytics möglich. Über die Verwendung von etracker Optimiser könnten ansonsten wiederum weitergehende Skripte injiziert werden.