Beitrag 'Kommentare Mit Github' Überarbeitet

Published on 2018-05-09 by Malte

Ich habe heute morgen noch schnell den Beitrag Kommentare mit Github überabeitet. Als erstes hatte sich ein kleiner Fehler eingeschlichen, man muss natürlich die JS Datei nicht im Header einbinden sondern direkt im Beitrag, was ich auch bereits getan habe.

Zusätzlich habe ich das Script ein wenig angepasst, damit die CSP noch restriktiver sein können. So ergeben sich jetzt folgenden Regeln:

script-src 'self'; 
img-src 'self' https://*.githubusercontent.com;
connect-src https://*.github.com

Das wichtigste war die erste Regel, direkten JS Code in der HTML Datei gilt als unsicher, und wird unteranderem vom Observatory Test von Mozilla mit 25 Punkten (bei 100 Punkten Gesamt) Abzug geahndet. Jetzt erhalten wir also auch wieder unser A+.