Verhindern Sie Cross-Site-Scripting Angriffe mit einer Content-Security-Policy (CSP)

Das Web ist standardmäßig offen: Jede Website kann Skripte, Stylesheets, Bilder, Schriftarten und mehr als Ressourcen von jeder Domain abrufen. Dies lässt jedoch die Tür offen für bösartige Akteure, die Skripte auf Ihrer Website ausführen und Ihre Besucher angreifen können.

Anstatt blindlings allem, was ein Server bereitstellt, zu vertrauen, definiert die CSP den HTTP-Header Content-Security-Policy. Damit können Sie eine Zulassungsliste mit Quellen vertrauenswürdiger Inhalte erstellen und den Browser anweisen, nur Ressourcen aus diesen Quellen auszuführen oder zu rendern.

Selbst wenn ein Angreifer eine Lücke finden kann, durch die das Skript eingeschleust werden kann, entspricht das Skript nicht der Zulassungsliste und wird daher nicht ausgeführt.

Eine CSP gehört zum Sicherheitsstandard für die meisten Webanwendungen, insbesondere für Webseiten mit Formularen und anderen interaktiven Elementen.