Content Security Policy (CSP)
Was ist Content Security Policy (CSP)?
Content Security Policy (CSP)HTTP-Antwort-Header, der dem Browser mitteilt, welche Quellen für Skripte, Styles, Frames und andere Inhalte erlaubt sind, und so XSS- und Datendiebstahlangriffe begrenzt.
CSP wird über den Antwort-Header 'Content-Security-Policy' (oder ein 'meta'-Element) ausgeliefert und erzwingt eine feinkörnige Allowlist je Ressourcentyp: 'script-src', 'style-src', 'img-src', 'connect-src', 'frame-ancestors' u. a. Moderne strikte CSPs basieren auf Nonces oder Hashes statt auf Host-Listen, sodass injizierte Skripte ohne korrektes Nonce schlicht nicht ausgeführt werden. CSP blockiert zudem Inline-Eventhandler, deaktiviert standardmäßig 'eval' und kann Verstöße über 'report-to' melden. Sie ist Defense in Depth: Sie verringert die Wirkung von XSS, Clickjacking (über 'frame-ancestors') und Mixed Content erheblich, ersetzt aber weder Eingabevalidierung noch Ausgabeencodierung.
● Beispiele
- 01
Header: 'Content-Security-Policy: script-src 'self' 'nonce-r4nd0m'; object-src 'none'; base-uri 'none'; frame-ancestors 'none'.
- 02
Reporting-Modus: 'Content-Security-Policy-Report-Only', um eine strengere Policy vor der Erzwingung zu testen.
● Häufige Fragen
Was ist Content Security Policy (CSP)?
HTTP-Antwort-Header, der dem Browser mitteilt, welche Quellen für Skripte, Styles, Frames und andere Inhalte erlaubt sind, und so XSS- und Datendiebstahlangriffe begrenzt. Es gehört zur Kategorie Anwendungssicherheit der Cybersicherheit.
Was bedeutet Content Security Policy (CSP)?
HTTP-Antwort-Header, der dem Browser mitteilt, welche Quellen für Skripte, Styles, Frames und andere Inhalte erlaubt sind, und so XSS- und Datendiebstahlangriffe begrenzt.
Wie schützt man sich gegen Content Security Policy (CSP)?
Schutzmaßnahmen gegen Content Security Policy (CSP) kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für Content Security Policy (CSP)?
Übliche alternative Bezeichnungen: CSP.