diff --git a/app.js b/app.js
index 77105bd..823ba4c 100644
--- a/app.js
+++ b/app.js
@@ -55,6 +55,7 @@ app.use(
       directives: {
         defaultSrc: ["'self'"],
         scriptSrc: ["'self'", "'unsafe-inline'"],
+        scriptSrcAttr: ["'none'"],
         styleSrc: ["'self'", "'unsafe-inline'"],
         imgSrc: ["'self'", "data:"],
         connectSrc: ["'self'", "ws:", "wss:"],
diff --git a/views/1v1_spielfeld.ejs b/views/1v1_spielfeld.ejs
index 5d7a89c..f414da8 100644
--- a/views/1v1_spielfeld.ejs
+++ b/views/1v1_spielfeld.ejs
@@ -36,7 +36,7 @@
 
         <div class="top-bar-actions">
           <button class="end-turn-btn" id="end-turn-btn" disabled>Zug beenden</button>
-          <button class="aufgeben-btn" id="aufgeben-btn" onclick="handleAufgeben()">🏳 Aufgeben</button>
+          <button class="aufgeben-btn" id="aufgeben-btn">🏳 Aufgeben</button>
         </div>
       </div>
 
@@ -53,7 +53,7 @@
             <div class="ready-pip" id="pip-player1">⬜ Spieler 1</div>
             <div class="ready-pip" id="pip-player2">⬜ Spieler 2</div>
           </div>
-          <button class="bereit-btn" id="bereit-btn" onclick="handleBereit()">✔ BEREIT</button>
+          <button class="bereit-btn" id="bereit-btn">✔ BEREIT</button>
         </div>
       </div>
 
@@ -62,7 +62,7 @@
         <input
           type="file"
           accept="image/*"
-          onchange="loadAvatar(this, 'avImgL', 'avLeft')"
+          id="fileInputLeft"
         />
 
         <img id="avImgL" class="av-img" />
@@ -93,7 +93,7 @@
         <input
           type="file"
           accept="image/*"
-          onchange="loadAvatar(this, 'avImgR', 'avRight')"
+          id="fileInputRight"
         />
 
         <img id="avImgR" class="av-img" />
@@ -347,6 +347,23 @@
         };
         r.readAsDataURL(file);
       }
+      // ── Event-Listener (kein inline-onclick wegen Helmet CSP) ─────────────
+      document.getElementById("bereit-btn")
+        ?.addEventListener("click", handleBereit);
+
+      document.getElementById("aufgeben-btn")
+        ?.addEventListener("click", handleAufgeben);
+
+      document.getElementById("fileInputLeft")
+        ?.addEventListener("change", function () {
+          loadAvatar(this, "avImgL", "avLeft");
+        });
+
+      document.getElementById("fileInputRight")
+        ?.addEventListener("change", function () {
+          loadAvatar(this, "avImgR", "avRight");
+        });
+      // ─────────────────────────────────────────────────────────────────────
     </script>
   </body>
 </html>