El encabezado evitará que archivos de recursos se carguen desde cualquier lugar, excepto el dominio de origen.
Sin embargo, no evitará que se produzcan secuestros de usuarios intermedios o del navegador que pueden insertar dinámicamente cambios en la página, ya que no intentan cargar un archivo de recursos separado en lo que respecta al navegador.
Header set Content-Security-Policy "default-src 'self'"
Es de hecho la entrada correcta .htaccess de Apache.
Para evitar los secuestros de MiTM, debe asegurarse de que todos los recursos se entreguen encriptados a través de HTTPS. Use la fijación de certificados para ayudar a prevenir la decodificación de MiTM.
Para evitar el uso indebido del navegador, primero asegúrese de que todos los clientes tengan instalado y actualizado un sólido bloqueo de anuncios (si está en una red controlada, hágalo a nivel de red). Eso evita los secuestros de drive-by que son cada vez más comunes. Otras formas provendrían de malware en la PC, por lo que debe asegurarse de que los usuarios actualicen sus antivirus constantemente y estén familiarizados con los ataques, como el phishing, que no abran documentos no confiables y que nunca ejecuten aplicaciones a menos que se conozcan. las cosas habituales de seguridad del cliente.