Content Security Policy (CSP)
Quick Definition
Ein Sicherheits-HTTP-Header, der hilft, Cross-Site-Scripting (XSS), Clickjacking und andere Code-Injection-Angriffe zu verhindern, indem kontrolliert wird, welche Ressourcen geladen werden können.
Was ist Content Security Policy?
Content Security Policy (CSP) ist ein Sicherheitsstandard, der als HTTP-Response-Header implementiert ist und es Webanwendungsentwicklern ermöglicht zu kontrollieren, welche Ressourcen (Skripte, Styles, Bilder usw.) der Browser für eine bestimmte Seite laden darf. Es bietet einen starken Schutz gegen XSS und andere Injection-Angriffe.
CSP-Direktiven umfassen:
- default-src: Fallback für andere Ressourcentypen
- script-src: Gültige Quellen für JavaScript
- style-src: Gültige Quellen für Stylesheets
- img-src: Gültige Quellen für Bilder
- connect-src: Gültige Quellen für AJAX, WebSocket usw.
- frame-src: Gültige Quellen für Frames und Iframes
- report-uri: Wohin Verstöße gemeldet werden sollen
CSP kann im Enforcement-Modus (Verstöße blockieren) oder im Report-Only-Modus (Verstöße protokollieren ohne zu blockieren) betrieben werden, was eine schrittweise Einführung erleichtert.
Beispiele
Ein strikter CSP-Header:
Content-Security-Policy: default-src 'self'; script-src 'self' https://trusted.cdn.com; style-src 'self' 'unsafe-inline'; img-src 'self' data: https:;Diese Policy erlaubt nur Skripte vom gleichen Ursprung und einem vertrauenswürdigen CDN, während Inline-Skripte blockiert werden, die Angreifer injizieren könnten.