CSP
Abkürzungen / Synonyme: Content Security Policy
Kurzdefinition
Content Security Policy: Ein Sicherheits-Header zur Abwehr von Cross-Site Scripting (XSS), der erlaubte Inhaltsquellen definiert.
Ausführliche Erklärung
Die Content Security Policy (CSP) ist der wirksamste Header gegen Cross-Site Scripting (XSS). Sie definiert per Direktiven wie `script-src`, `style-src` und `default-src`, aus welchen Quellen der Browser Inhalte laden und ausführen darf. Eine starke CSP verzichtet auf `unsafe-inline` und erlaubt Skripte stattdessen über eine Nonce oder einen Hash. Schwache Richtlinien mit `unsafe-inline` oder Wildcards bieten kaum Schutz. CSP lässt sich zunächst im `Content-Security-Policy-Report-Only`-Modus testen, bevor sie scharf geschaltet wird.
Beispiel
`Content-Security-Policy: default-src 'self'; script-src 'self' 'nonce-rAnd0m'; object-src 'none'; base-uri 'self'` erlaubt nur Skripte mit gültiger Nonce.
Im ausführlichen Fachartikel erklären wir CSP mit Architektur, Praxisbeispielen und Best Practices im Detail:
Sie möchten CSP direkt in der Praxis prüfen oder anwenden? Nutzen Sie das passende kostenlose Tool: