Het script werkt alleen als script-src {hostname waar het script op staat}
Een img wordt enkel getoond als img-src {hostname waar de afbeelding op staat} (is een whitelist)
Een iframe van een pagina op dezelfde site wordt enkel getoond indien frame-src 'self'
Een iframe van een andere site wordt enkel getoond indien frame-src {hostname van de site}
Achtergrond kleur #yellow door stylesheet. Style in de html is niet toegestaan. Indien dit wel het geval is dient de header 'unsafe-inline' te worden gezet.