Ich habe in der htaccess die Same-Origin-Policy definiert, aber die URL zu meinem Matomo ausgenommen, damit das Script auch ausgeführt wird, wenn der Browser der Policy folgt.:
Header set Content-Security-Policy "default-src 'self' 'unsafe-inline' http://mein.matomo.de" Header set X-Content-Type-Options "nosniff" Header set X-XSS-Protection "1; mode=block" Header set X-Frame-Options "SAMEORIGIN" Header set X-Robots-Tag "index, follow" Header set X-Download-Options "noopen" Header set X-Permitted-Cross-Domain-Policies "none" SetEnv modHeadersAvailable trueIn den FAQs von Matomo hier: FAQ von Matomo fand ich den Hinweis, wie ich den piwik.js Script direkt in meine Webseiten einfügen sollte und damit vermeiden kann, dass meine Analyse von einigen Browsern verhindert wird. Zudem wäre dann wohl die Ausnahme in der zweiten Zeile der oben zitierten Header-Defintionen nicht mehr nötig.
Ziemlich weit unten auf dieser FAQ-Seite ist der Tip zu finden: ContentSecurityPolicy
Leider habe ich nicht verstanden, wie ich das nun konkret umsetzen sollte. Zudem wird indirekt auch der Hinweis gegeben, dass dieCSP für Safari, Firefox, Chrome, InternetExploder unterschiedlich ist und da weiß ich nicht, wie das auch noch in der htacces definiert werden muss.
Frage: Wie setze ich den Tipp denn nun am besten um?