Zwakke Content-Security-Policy

XSS en clickjacking blijven grotendeels ongemitigeerd. Third-party scripts kunnen ongelimiteerd acties uitvoeren.

Vervang `unsafe-inline` door hashes of nonces, verwijder wildcards uit `script-src`, voeg `frame-ancestors` toe (meestal `'none'` of `'self'`), en stel een restrictieve `default-src` in.

Geen AI-uitleg gegenereerd. Dit is optioneel en alleen ondersteunend — de scan-bevindingen blijven leidend.

{
  "cspHeader": "default-src 'self'; script-src 'self' 'unsafe-inline' 'unsafe-eval' https://www.googletagmanager.com https://www.google-analytics.com https://*.sentry.io https://cdnjs.cloudflare.com; style-src 'self' 'unsafe-inline' https://fonts.googleapis.com https://api.fontshare.com; font-src 'self' https://fonts.gstatic.com https://cdn.fontshare.com; img-src 'self' data: https: blob:; frame-src https://www.youtube-nocookie.com; connect-src 'self' https://api.lectame.com wss://api.lectame.com https://api.groq.com https://www.google-analytics.com https://region1.google-analytics.com https://*.sentry.io https://*.ingest.sentry.io https://fonts.googleapis.com https://fonts.gstatic.com https://api.fontshare.com https://cdn.fontshare.com https://api.qrserver.com; media-src 'self' https:; object-src 'none'; base-uri 'self'; form-action 'self'; frame-ancestors 'none'",
  "weaknesses": [
    "script-src 'unsafe-inline'",
    "script-src 'unsafe-eval'"
  ]
}