CSP — Content Security Policy
Eine Content Security Policy (CSP) ist ein Sicherheitsheader, der dem Browser vorgibt, welche externen Ressourcen eine Website laden darf. CSP schützt vor Cross-Site-Scripting (XSS) und anderen Injection-Angriffen.
Ohne CSP kann ein Angreifer, der eine Sicherheitslücke findet, beliebige externe Scripte in Ihre Website einschleusen. Mit CSP blockiert der Browser alle Ressourcen, die nicht explizit erlaubt sind.
Wichtige Direktiven
- script-src — Welche JavaScript-Quellen erlaubt sind
- style-src — Welche CSS-Quellen erlaubt sind
- img-src — Welche Bildquellen erlaubt sind
- connect-src — Welche API-Endpunkte kontaktiert werden dürfen
- default-src — Fallback für alle nicht explizit definierten Ressourcentypen
Was prüft exatics?
exatics prüft, ob ein CSP-Header gesetzt ist und wie restriktiv er konfiguriert ist. Eine zu lockere CSP (z.B. unsafe-inline, unsafe-eval) bietet wenig Schutz und wird als Verbesserungspotenzial gemeldet.