Content Security Policy (CSP)

Die Content Security Policy ist ein HTTP-Security-Header, der dem Browser vorgibt, von welchen Quellen Skripte, Stylesheets, Bilder und andere Ressourcen geladen werden dürfen. CSP ist die wirksamste Schutzmaßnahme gegen Cross-Site-Scripting (XSS) — eine der häufigsten Angriffsmethoden im Web.

Ohne CSP kann ein Angreifer, der Schadcode in eine Website einschleust, beliebige externe Skripte nachladen. Mit einer restriktiven CSP blockiert der Browser solche Versuche automatisch, da die externe Quelle nicht in der erlaubten Liste steht.

Aufbau einer CSP

Eine CSP besteht aus Direktiven, die für verschiedene Ressourcentypen festlegen, welche Quellen erlaubt sind:

• default-src 'self' — Standardmäßig nur eigene Domain erlaubt
• script-src 'self' — Skripte nur von der eigenen Domain
• style-src 'self' 'unsafe-inline' — Stylesheets von eigener Domain plus Inline-Styles
• img-src 'self' data: https: — Bilder von eigener Domain, Data-URIs und HTTPS-Quellen
• frame-ancestors 'self' — Ersetzt X-Frame-Options (Clickjacking-Schutz)

unsafe-inline und unsafe-eval

Die Direktiven 'unsafe-inline' und 'unsafe-eval' schwächen den CSP-Schutz erheblich. unsafe-inline erlaubt Inline-Skripte — genau das, was XSS-Angriffe ausnutzen. unsafe-eval erlaubt eval() und ähnliche Funktionen. Beide sollten vermieden werden, sind aber bei vielen CMS-Systemen schwer zu umgehen.

Was prüft exatics?

Unser Audit erkennt, ob eine CSP gesetzt ist, und bewertet deren Stärke. Eine fehlende CSP senkt den Sicherheits-Score. Eine CSP mit unsafe-inline und unsafe-eval wird als schwach bewertet.

Jetzt Ihre Website prüfen

Verwandte Begriffe

• HTTP Security Headers
• X-Frame-Options
• HTTPS / SSL / TLS

Weiterführende Ratgeber:

• HTTP Security Headers: Website-Sicherheit prüfen