Content-Security-Policy-Schwachstelle/DE/Solution Tips: Unterschied zwischen den Versionen
| Zeile 1: | Zeile 1: | ||
| − | Verwenden Sie den CSP mit default-src 'none' und ohne unsicher-eval oder unsicher-inline-Richtlinien. Mehr zu '''Content Security Policy''' (zu deutsch etwa "Richtlinie für die Sicherheit der Inhalte") finden Sie bei '''[https://wiki.selfhtml.org/wiki/Sicherheit/Content_Security_Policy SELFHTML>>]''' | + | Verwenden Sie den CSP mit default-src 'none' und ohne unsicher-eval oder unsicher-inline-Richtlinien. Mehr zu '''Content Security Policy''' (zu deutsch etwa "Richtlinie für die Sicherheit der Inhalte") finden Sie bei '''[https://wiki.selfhtml.org/wiki/Sicherheit/Content_Security_Policy SELFHTML >>]''' |
| Zeile 15: | Zeile 15: | ||
Wenn man seinen eigenen Webserver konfigurieren kann, was bei günstigen Hostingangeboten in aller Regel nicht der Fall ist, dann gibt es diese Einstellungsmöglichkeit über die '''Bearbeitung der .htaccess''': | Wenn man seinen eigenen Webserver konfigurieren kann, was bei günstigen Hostingangeboten in aller Regel nicht der Fall ist, dann gibt es diese Einstellungsmöglichkeit über die '''Bearbeitung der .htaccess''': | ||
| − | <pre># Download | + | <pre># Download: Lade Inhalte nur von Seiten, die explizit erlaubt sind |
# Beispiel: Alles von der eigenen Domain erlauben, keine Externas: | # Beispiel: Alles von der eigenen Domain erlauben, keine Externas: | ||
| Zeile 25: | Zeile 25: | ||
Hier finden Sie ein Beispiel, wie eine .htaccess -Datei aussehen kann, um den '''HTTP-Security-Header-Scanner''' Grün zu stimmen. | Hier finden Sie ein Beispiel, wie eine .htaccess -Datei aussehen kann, um den '''HTTP-Security-Header-Scanner''' Grün zu stimmen. | ||
| − | ([[Htaccess|.htaccess-Beispiel]]) | + | ([[Htaccess/DE|.htaccess-Beispiel]]) |
Version vom 31. Januar 2019, 13:41 Uhr
Verwenden Sie den CSP mit default-src 'none' und ohne unsicher-eval oder unsicher-inline-Richtlinien. Mehr zu Content Security Policy (zu deutsch etwa "Richtlinie für die Sicherheit der Inhalte") finden Sie bei SELFHTML >>
--snip
Beispiele für den Header der Startseite:
<meta http-equiv="Content-Security-Policy" content="default-src 'self'; script-src 'self'"> <meta http-equiv="X-Content-Security-Policy" content="default-src 'self'; script-src 'self'"> <meta http-equiv="X-WebKit-CSP" content="default-src 'self'; script-src 'self'">
Konfiguration des Webservers
Wenn man seinen eigenen Webserver konfigurieren kann, was bei günstigen Hostingangeboten in aller Regel nicht der Fall ist, dann gibt es diese Einstellungsmöglichkeit über die Bearbeitung der .htaccess:
# Download: Lade Inhalte nur von Seiten, die explizit erlaubt sind # Beispiel: Alles von der eigenen Domain erlauben, keine Externas: Header set Content-Security-Policy "default-src 'none'; frame-src 'self'; font-src 'self';img-src 'self' siwecos.de; object-src 'self'; script-src 'self'; style-src 'self';"
--snap
Hier finden Sie ein Beispiel, wie eine .htaccess -Datei aussehen kann, um den HTTP-Security-Header-Scanner Grün zu stimmen. (.htaccess-Beispiel)
