Web & Zugriff

Selbst die Website
hält die Regeln ein.

Ein Privatsphäre-Produkt kann keine Marketing-Site voller Tracker ausliefern. Diese Site ist statisch, trägt weder Analytics- noch Werbe-Cookies und sperrt eine strikte Content-Security-Policy mit gehärteten HTTP-Headern ab.

Diese Website

Statisch und abgeriegelt.

Es gibt keinen Anwendungsserver, der Seiten rendert, und kein Drittanbieter-Skript in Ihrem Browser. Die Härtung wird am Edge über HTTP-Response-Header erzwungen — hier steht, was tatsächlich gesetzt ist.

Keine Tracker, keine Cookies

Die Site liefert keine Analytics-SDKs und keine Werbe-Cookies — passend zu Searxlys Haltung gegenüber Überwachungswerbung. Nichts hier profiliert Sie.

Strikte CSP

Eine Content-Security-Policy beschränkt Skripte und Styles auf die eigene Origin der Site, verbietet Plugins und Framing und wertet unsichere Anfragen auf — und verkleinert so die Angriffsfläche für Injection.

Kein Clickjacking

frame-ancestors 'none' und X-Frame-Options: DENY bedeuten, dass die Site nicht in einem iframe eingebettet werden kann, um Sie zu einem Klick zu verleiten, den Sie nicht wollten.

MIME- & Referrer-Härtung

X-Content-Type-Options: nosniff stoppt Content-Type-Verwirrung, und eine strikte Referrer-Policy hält Ihre Navigation davon ab, über Origins hinweg zu leaken.

Mächtige Features aus

Eine Permissions-Policy deaktiviert Kamera-, Mikrofon-, Geolokalisierungs-, USB-, Zahlungs- und Ad-Topics-APIs — die Site fragt nie danach, also können sie nicht missbraucht werden.

Origin-Isolation

Cross-Origin-Opener-Policy: same-origin isoliert den Browsing-Kontext von anderen Origins und schließt eine Klasse von Cross-Window-Angriffen.

Die Header, wörtlich

Nichts versteckt.

Content-Security-Policy
default-src 'self'; object-src 'none'; script-src 'self'; frame-ancestors 'none'; upgrade-insecure-requests (connect begrenzt auf die Site + den Base RPC)
X-Frame-Options
DENY
X-Content-Type-Options
nosniff
Referrer-Policy
strict-origin-when-cross-origin
Permissions-Policy
camera=(), microphone=(), geolocation=(), payment=(), usb=(), browsing-topics=()
Cross-Origin-Opener-Policy
same-origin

Die Site respektiert Sie auch.

Keine Tracker, eine strikte CSP, gehärtete Header. Die App geht viel weiter — und ist kostenlos herunterzuladen.