O portal do professor, permite que a instituição realize a configuração do headers da forma que desejar.




As configuração mencionadas abaixo são apenas uma sugestão de parametrização, pois dependerá da configuração do ambiente de cada cliente. 

AtributoValores possíveisDescriçãoReferência
Content Security Policy (CSP)

default-src

script-src*

style-src

img-src

font-src

frame-src

frame-ancestors 

A diretiva Content-Security-Policy (CSP) é um cabeçalho de segurança importante que ajuda a mitigar os riscos de ataques como XSS (Cross-Site Scripting) e outros tipos de ataques baseados em injeção de código. Ela permite que os desenvolvedores controlem quais recursos são carregados em uma página web e de onde eles podem ser carregados.Content Security Policy (CSP) - HTTP | MDN

 <httpProtocol>
     <customHeaders>
       <add name="Content-Security-Policy" value=
             " default-src 'self';
               script-src 'self' 'unsafe-inline' 'unsafe-eval' https://www.googletagmanager.com https://code.jquery.com;
               style-src 'self' 'unsafe-inline' https://stackpath.bootstrapcdn.com https://www.googletagmanager.com;
               img-src 'self' data: https://api.tiles.mapbox.com https://c.tile.openstreetmap.org https://a.tile.openstreetmap.org https://b.tile.openstreetmap.org https://api.qrserver.com https://chart.googleapis.com;
               connect-src 'self' data: https://api.tiles.mapbox.com https://api.qrserver.com https://chart.googleapis.com https://nominatim.openstreetmap.org;
               frame-ancestors 'self';
               object-src 'none';
               base-uri 'self';
         "/>
  </customHeaders>
</httpProtocol>