Um die Sicherheit von Webanwendungen zu erhöhen, ist es gute Praxis HTTP-Security-Headers zu verwenden. Hierzu gehört unter anderem der Content-Security-Policy-Header (CSP).
Um den Tracking Code auf einem Server mit aktiviertem CSP zu verwenden, muss der CSP-Header für etracker folgendermaßen gesetzt werden:
Header set Content-Security-Policy "script-src 'self' https://*.etracker.com https://*.etracker.de 'unsafe-inline'; connect-src https://*.etracker.de"
Bei Verwendung der Scrollmap oder des Optimisers sollte zudem noch das Einbetten in einen iframe erlaubt werden:
Header set Content-Security-Policy "frame-ancestors https://*.etracker.com; script-src 'self' https://*.etracker.com https://*.etracker.de 'unsafe-inline'; connect-src https://*.etracker.de"
Hinweis:
Die Einschränkung „unsafe-inline“ kann aufgehoben werden, wenn der etracker Parameter-Block in der Webseite und die CSP bei der Auslieferung der Seite mit dem gleichen, zufällig erzeugten Nonce versehen werden. Bei dieser restriktiven Einbindung von etracker ist jedoch nur die Nutzung von etracker Analytics möglich. Beim Einsatz des Optimisers könnten sonst weitergehende Skripte injiziert werden.
Bitte beachte, dass die oben genannten Settings die für etracker benötigten Einstellungen enthalten. Deine Webseite benötigt möglicherweise darüber hinaus weitere Einstellungen, damit andere Skripte und Dienste weiterhin funktionieren.