europol.europa.eu

Контекст

Europol — агентство ЕС по правоохранительному сотрудничеству, штаб-квартира в Гааге. Координирует борьбу с организованной преступностью, терроризмом, киберпреступностью. Регулируется Regulation (EU) 2018/1725 и специальным Regulation (EU) 2016/794 о Европоле. Надзор — EDPS. HAR: 40 запросов, 2 домена.

Что показал HAR

Два домена — www.europol.europa.eu и webtools.europa.eu. webtools.europa.eu это централизованная инфраструктура Европейской комиссии для общих веб-инструментов, используемая множеством институций ЕС. Оба домена — поддомены europa.eu. Ни одного внешнего запроса, ни одного Set-Cookie ответа.

Security headers — полный набор

Europol реализует все ключевые HTTP security headers:

Content-Security-Policy — ограничивает загрузку скриптов только с self, europa.eu и webtools.europa.eu. Никаких внешних CDN, никаких рекламных сетей.

Permissions-Policy — явно отключает interest-cohort (FLoC/Topics API), камеру, геолокацию, микрофон, гироскоп, магнетометр, платёжный API, publickey-credentials.

Strict-Transport-Security — max-age=16000000 с includeSubDomains и preload.

X-Content-Type-Options: nosniff и X-Frame-Options: SAMEORIGIN — стандартная защита от clickjacking и MIME-sniffing.

Это не случайный набор — это осознанная политика безопасности. Europol прямо запрещает браузерам отправлять данные в рекламные сети через CSP и Permissions-Policy.

webtools.europa.eu

Единственная внешняя зависимость — webtools.europa.eu, централизованный сервис Европейской комиссии. Загружает общие CSS-темы и JavaScript утилиты для сайтов институций ЕС. Это не сторонний трекер — это внутренняя инфраструктура Союза. Данные остаются в europa.eu.

Вывод

Агентство которое занимается киберпреступностью понимает что такое правильная веб-инфраструктура. Ноль внешних трекеров, ноль cookies, полный набор security headers включая Permissions-Policy блокирующий FLoC. Два домена — оба europa.eu. Эталонный результат.