Sie unterbinden das Laden aus fremden Quellen mit folgenden Angaben in Ihrer .htaccess:
Header set Content-Security-Policy "default-src 'none'; frame-src 'self'; font-src 'self'; img-src 'self'; script-src 'self'; style-src 'self';"
#HTTP Content-Types
AddCharset UTF-8 .html
#Strict-Transport-Security
Header set Strict-Transport-Security "max-age=31536000; includeSubDomains"
#X-Content-Type-Options
Header always set X-Content-Type-Options "nosniff"
#X-Frame-Options
Header always set X-Frame-Options "SAMEORIGIN"
#X-Xss-Protection
Header always set X-Xss-Protection "1; mode=block"
#Referrer-Policy
Header set Referrer-Policy "strict-origin"
Achtung: Die Angaben script-src 'self'; style-src 'self';" verhindern auch die Ausführung von inline css und inline Javascript.
Eine genauere Beschreibung der Content Security Policy finden Sie bei SIWECOS