Content Security Policy

Content Security Policy (CSP)

Wofür ist CSP gut?

Eine oft verwendete Methode, um Internetseiten zu missbrauchen, ist das sogenannte Cross-Site-Scripting (XSS). Hierbei wird über eine entsprechende Lücke – z. B. bei nicht ausreichender Prüfung von Benutzer-Formulareingaben – der eigenen Seite fremde Schadsoftware untergeschoben.

Die Funktion dieser Skripte kann vieles bewirken: Vom Mitlesen der Benutzereingaben z. B. bei einem Log-in, Verteilen von weiterer schädlicher Software an die Seitenbesucher, Umlenken des Mausklicks bis zur vollständigen Umgestaltung der bestehenden Seite, um sie für andere Zwecke zu missbrauchen, ist so ziemlich alles möglich.

Und wie funktioniert CSP?

Abhilfe soll hier der sogenannte Content Security Header (CSP) schaffen. Bei Verwendung von CSP werden dem Browser zusätzliche Header-Informationen übermittelt. Auf diese Weise wird der Browser informiert, über welche Quellen überhaupt Inhalte bezogen und dargestellt werden dürfen.

Über die Festlegung der erlaubten Quellen, blockt der Browser das Laden aller weiteren Quellen, die nicht explizit erlaubt worden sind. Damit ist es also nicht mehr ohne weiteres möglich, dass ein Skript von einer unbekannten oder unerlaubten Quelle im Browser geladen und ausgeführt wird.

Die Einstellungen lassen sich hierbei nach Datentypen unterschiedlich konfigurieren, so können beispielsweise die erlaubten Quellen für Skripte andere sein als die erlaubten Quellen für z. B. Bilder oder Stylesheet-Anweisungen.

Üblicherweise erfolgt hierbei eine generelle Konfiguration über die Direktive „default-src“, die dann noch durch Direktiven wie z. B. „script-src“, „style-src“ usw. ergänzt werden kann.

Wie kann CSP aktiviert werden?

Die Verwendung der CSP-Header lässt sich über mehrere Wege realisieren:

  • Konfiguration des Webservers
  • über eine .htaccess Datei
  • über die Virtual Hosts Konfiguration
  • über <meta>-Tags im Header der Seiten
  • durch Verwendung serverseitiger Scriptsprachen (z. B. PHP)

Vorbereitung zur Verwendung

Wer sich mit der Konfiguration des CSP-Headers beschäftigt, wird schnell merken, wie viele Inhalte eigentlich von extern bezogen werden. Insbesondere Scripte, die dann noch einiges an Inhalten nachladen wie z. B. google maps, beanspruchen ein besonderes Augenmerk.

An dieser Stelle eine Empfehlung:

Um das Durchkonfigurieren der CSP Header im Vorfeld zu minimieren gelten folgende Empfehlungen:

  • Vermeiden Sie jegliche externe Einbindung, sofern sich das auch lokal vorhalten lässt (z. B. Schriften)
  • Vermeiden Sie inline Javascript Code, lagern Sie den Code möglichst immer in separate Dateien aus.

Haben wir Ihr Interesse geweckt?

Sie können sich zu diesem Thema gern ans uns wenden.

Schreiben Sie uns: info(at)e-pixler.com oder rufen Sie uns an: 030 220 5630 0

Wir sind immer für Sie da!

« Zurück zu Aktuelles