Content-Security-Policy: Unterschied zwischen den Versionen
Petra (Diskussion | Beiträge) |
|||
| Zeile 4: | Zeile 4: | ||
|'''Check'''||Content Security Policy Inaktiv | |'''Check'''||Content Security Policy Inaktiv | ||
|- | |- | ||
| − | |'''Beschreibung'''|| Die Content-Security-Policy ist ein Sicherheitskonzept, das Content-Injection-Angriffe mildern soll | + | |'''Beschreibung'''|| Die Content-Security-Policy ist ein Sicherheitskonzept, das Content-Injection-Angriffe mildern soll. Es stellt über eine Whitelist (Liste erlaubter Quellen) dar, von welchen [[Quellen]] Javascripte, Bilder, Schriftarten und andere Inhalte auf Ihrer Seite eingebunden werden dürfen. |
|- | |- | ||
| − | |'''Hintergrund'''|| Content Security Policy (CSP) erfordert eine sorgfältige Abstimmung und genaue Definition der Rechte. Wenn diese Option aktiviert wurde, hat CSP eine erhebliche Auswirkungen auf die Art und Weise wie der Browser die Seiten darstellt(rendert). Zum Beispiel ist "Inline JavaScript" standardmäßig deaktiviert und muss explizit erlaubt werden. CSP kann eine Reihe Angriffe wie [[Cross-Site Scripting]] und Cross-Site | + | |'''Hintergrund'''|| Content Security Policy (CSP) erfordert eine sorgfältige Abstimmung und genaue Definition der Rechte. Wenn diese Option aktiviert wurde, hat CSP eine erhebliche Auswirkungen auf die Art und Weise wie der Browser die Seiten darstellt (rendert). Zum Beispiel ist "Inline JavaScript" standardmäßig deaktiviert und muss explizit erlaubt werden. CSP kann eine Reihe Angriffe wie [[Cross-Site Scripting]] und Cross-Site [[Injection]] verhindern. |
|- | |- | ||
| − | |'''Auswirkung'''||Die Content-Security-Policy ist eine leistungsfähige Möglichkeit, die Sicherheit auf Webseiten zu erhöhen. Wichtig dabei zu wissen ist, dass die Liste regelmäßig kontrolliert werden sollte (verhindert das Einschleusen von externen Inhalten und Code). Auf der anderen Seite ist es nur selten möglich, einen sicheren CSP-Header zu integrieren ohne den Quellcode der Webseite zu modifizieren. | + | |'''Auswirkung'''||Die Content-Security-Policy ist eine leistungsfähige Möglichkeit, die Sicherheit auf Webseiten zu erhöhen. Wichtig dabei zu wissen ist, dass die Liste regelmäßig kontrolliert werden sollte (verhindert das Einschleusen von externen Inhalten und Code). Auf der anderen Seite ist es nur selten möglich, einen sicheren CSP-Header zu integrieren, ohne den Quellcode der Webseite zu modifizieren. |
|- | |- | ||
|'''Lösung / Tipps'''||Verwenden Sie den CSP mit default-src 'none' und ohne unsicher-eval oder unsicher-inline-Richtlinien. Mehr zu '''Content Security Policy''' (zu deutsch etwa "Richtlinie für die Sicherheit der Inhalte") finden Sie bei '''[https://wiki.selfhtml.org/wiki/Sicherheit/Content_Security_Policy SELFHTML>>]''' | |'''Lösung / Tipps'''||Verwenden Sie den CSP mit default-src 'none' und ohne unsicher-eval oder unsicher-inline-Richtlinien. Mehr zu '''Content Security Policy''' (zu deutsch etwa "Richtlinie für die Sicherheit der Inhalte") finden Sie bei '''[https://wiki.selfhtml.org/wiki/Sicherheit/Content_Security_Policy SELFHTML>>]''' | ||
Version vom 17. März 2018, 13:09 Uhr
Content-Security-Policy
| Check | Content Security Policy Inaktiv |
| Beschreibung | Die Content-Security-Policy ist ein Sicherheitskonzept, das Content-Injection-Angriffe mildern soll. Es stellt über eine Whitelist (Liste erlaubter Quellen) dar, von welchen Quellen Javascripte, Bilder, Schriftarten und andere Inhalte auf Ihrer Seite eingebunden werden dürfen. |
| Hintergrund | Content Security Policy (CSP) erfordert eine sorgfältige Abstimmung und genaue Definition der Rechte. Wenn diese Option aktiviert wurde, hat CSP eine erhebliche Auswirkungen auf die Art und Weise wie der Browser die Seiten darstellt (rendert). Zum Beispiel ist "Inline JavaScript" standardmäßig deaktiviert und muss explizit erlaubt werden. CSP kann eine Reihe Angriffe wie Cross-Site Scripting und Cross-Site Injection verhindern. |
| Auswirkung | Die Content-Security-Policy ist eine leistungsfähige Möglichkeit, die Sicherheit auf Webseiten zu erhöhen. Wichtig dabei zu wissen ist, dass die Liste regelmäßig kontrolliert werden sollte (verhindert das Einschleusen von externen Inhalten und Code). Auf der anderen Seite ist es nur selten möglich, einen sicheren CSP-Header zu integrieren, ohne den Quellcode der Webseite zu modifizieren. |
| Lösung / Tipps | Verwenden Sie den CSP mit default-src 'none' und ohne unsicher-eval oder unsicher-inline-Richtlinien. Mehr zu Content Security Policy (zu deutsch etwa "Richtlinie für die Sicherheit der Inhalte") finden Sie bei SELFHTML>>
Beispiel: --snip # Download / Lade Inhalte nur von Seiten die explizit erlaubt sind # Beispiel das alles von der eigenen Domain erlaubt allerdings keinerlei Externas: Header set Content-Security-Policy "default-src 'none'; script-src 'self'; connect-src 'self'; img-src 'self'; style-src 'self';" --snap |
