Mitteilung in der zusätzlichen Konsole von Firefox

Eben machte mich im Firefox ein weißes Ausrufzeichen im roten Kreis am rechten Fensterrand der Werkzeuge für Webentwickler stutzig. Nachdem ich draufklickte öffnete sich ganz unten im Browserfenster eine zusätzliche Konsole. Darin ist zu lesen:

Content Security Policy: Die Einstellungen der Seite haben das Laden einer Ressource auf https://fonts.googleapis.com/css?family=Roboto blockiert („default-src“).

Per se finde ich’s ja gut, dass die Website das Laden einer Ressource von einem Google-Server blockiert. Die Frage ist: Bedeutet diese Meldung, dass keine Daten an einen Google-Server übermittelt wurden, oder bedeutet die Meldung nur, dass keine Daten von einem Google-Server geladen wurden?

Dein Browser hat die Ressource nicht nachgeladen. Damit hat die entsprechende Gegenstelle (von der nicht nachgeladenen Ressource) personenbeziehbare Daten über dich, wie z. B. deine IP-Adresse, nicht bekommen.

Ah. Okay. Aber ist das nicht merkwürdig? Einerseits enthält der Quellcode der Website eine Verlinkung auf eine externe Ressource, die nachgeladen werden könnte. Andererseits sagt die CSP dieser Website meinem Browser, er solle dem Link nicht folgen.

Warum programmiert man eine Website so „widersprüchlich“?

Bei Browsern, die kein CSP unterstützen (okay, die sind heute die Ausnahme), würde die externe Ressource nachgeladen.

Unkenntnis. Manchmal auch keine Möglichkeit, das anzupassen. Weil

  • kein Zugriff auf Sourcecode
  • lieber beim Standard bleiben
  • Software wurde aktualisiert, vielleicht noch nicht lange drin

Es gibt diverse Gründe, die zu einer Inkonsistenz führen.