Plattform für Internetsicherheit
Home » Content-Security-Policy » Wann benötigt meine Website eine Content-Security-Policy?

cspWann benötigt meine Website eine Content-Security-Policy?

Wann sollten Sie eine Inhaltsicherheitsrichtlinie einsetzen:

CSP-Diagramm

Das Web ist standardmäßig offen: Jede Website kann Skripte, Stylesheets, Bilder, Schriftarten und mehr als Ressourcen von jeder Domain abrufen. Dies lässt jedoch die Tür offen für bösartige Akteure, die Skripte auf Ihrer Website ausführen und Ihre Besucher angreifen können.

Eine CSP gehört zum Sicherheitsstandard für komplexe Webanwendungen, die anfällig für Cross-Site-Scripting sind. Dies gilt insbesondere für Websites im Rechts- und Gesundheitswesen, dem Bildungsbereich, für Behörden und Institutionen.

Wann eine Inhaltsicherheitsrichtlinie notwendig ist:

Anwendungen mit sensiblen Daten: Zum Beispiel eine Arztpraxis mit Online-Terminbuchung. Hier werden persönliche Gesundheitsinformationen verarbeitet, was ein hohes Datenschutzbedürfnis erfordert.

Interaktive E-Commerce-Seiten: Eine Webseite für einen Online-Shop, die Kundeninteraktionen wie Warenkorbfunktionen, Nutzerbewertungen oder personalisierte Empfehlungen bietet.

Webseiten, die Benutzerinhalte hosten: Beispielsweise eine Plattform, auf der Nutzer Dokumente, Nachrichten oder Medien hochladen können.

In solchen Fällen kann die Einführung der CSP einen signifikanten Sicherheitsgewinn darstellen, insbesondere wenn moderne Frameworks verwendet werden.

Wann eine CSP möglicherweise nicht notwendig ist:

Statische Webseiten ohne Login-Funktion: Zum Beispiel eine einfache Webseite für eine Anwaltskanzlei, die nur allgemeine Informationen und Kontaktdaten bietet und auf einem Shared Hosting läuft.

Seiten ohne Cookies und Nutzerinteraktion: Eine kleine Unternehmensseite mit nur sechs Seiten, die keine Nutzerdaten erfasst oder verarbeitet.

In solchen Fällen ist das Risiko eines XSS-Angriffs geringer. Statt einer CSP könnten hier andere Sicherheitsmaßnahmen, wie regelmäßige Updates, sichere Hosting-Dienste und starke Passwörter, einen angemessenen Schutz bieten.

Das Ziel ist es, eine ausgewogene Sicherheitslösung zu finden, die den Bedürfnissen und der Komplexität der jeweiligen Webseite entspricht.

GetSafe 360° Box

360° Website SecurityRundum-Absicherung

HTTP-Sicherheits-Header
Inhaltsicherheitsrichtlinie (CSP)
XSS-Absicherung
Ausführung i.d.R. innerhalb von 24 Std.
100% Geld-zurück-Garantie
Keine monatlichen Kosten

Wir schützen, was Ihnen wichtig ist.

Schlüsselfertige Absicherung:

Unsere Experten erledigen diese Aufgabe komplett für Sie.
Statt 245,- € jetzt zum Vorzugspreis von nur 195,- €

Jetzt Starten »