Content-Security-Policy-Schwachstelle/DE/Solution Tips: Unterschied zwischen den Versionen

Aus Siwecos
Wechseln zu: Navigation, Suche
 
(8 dazwischenliegende Versionen von 2 Benutzern werden nicht angezeigt)
Zeile 1: Zeile 1:
Verwenden Sie den CSP mit default-src 'none' und ohne unsicher-eval oder unsicher-inline-Richtlinien. Mehr zu '''Content Security Policy''' (zu deutsch etwa "Richtlinie für die Sicherheit der Inhalte") finden Sie bei '''[https://wiki.selfhtml.org/wiki/Sicherheit/Content_Security_Policy SELFHTML >>]'''
+
Wenn die Content Security Policy nicht sicher konfiguriert ist, lädt Ihre [[Webanwendung]] eventuell Inhalte aus unsicheren Quellen nach.
  
 +
Verwenden Sie den CSP mit default-src 'none' oder 'self' und ohne 'unsafe-eval' oder 'unsafe-inline' Richtlinien. Mehr zu '''Content Security Policy''' (zu deutsch etwa "Richtlinie für die Sicherheit der Inhalte") finden Sie bei '''[https://wiki.selfhtml.org/wiki/Sicherheit/Content_Security_Policy SELFHTML >>]'''
  
--snip<br>
+
'''Beispiele für den [[Header/DE|Header]] der Startseite:'''
  
'''Beispiele für den Header der Startseite:'''
+
<meta http-equiv="Content-Security-Policy" content="default-src 'self'; script-src 'self'">
 
+
<meta http-equiv="X-Content-Security-Policy" content="default-src 'self'; script-src 'self'">
<pre>
+
<meta http-equiv="X-WebKit-CSP" content="default-src 'self'; script-src 'self'">
<meta http-equiv="Content-Security-Policy" content="default-src 'self'; script-src 'self'">
 
<meta http-equiv="X-Content-Security-Policy" content="default-src 'self'; script-src 'self'">
 
<meta http-equiv="X-WebKit-CSP" content="default-src 'self'; script-src 'self'"></pre>
 
  
 
'''Konfiguration des Webservers'''
 
'''Konfiguration des Webservers'''
Zeile 15: Zeile 13:
 
Wenn man seinen eigenen Webserver konfigurieren kann, was bei günstigen Hostingangeboten in aller Regel nicht der Fall ist, dann gibt es diese Einstellungsmöglichkeit über die '''Bearbeitung der .htaccess''':
 
Wenn man seinen eigenen Webserver konfigurieren kann, was bei günstigen Hostingangeboten in aller Regel nicht der Fall ist, dann gibt es diese Einstellungsmöglichkeit über die '''Bearbeitung der .htaccess''':
  
<pre># Download: Lade Inhalte nur von Seiten, die explizit erlaubt sind
+
# Download: Lade Inhalte nur von Seiten, die explizit erlaubt sind
# Beispiel: Alles von der eigenen Domain erlauben, keine Externas:
+
# Beispiel: Alles von der eigenen Domain erlauben, keine Externas:
 
 
Header set Content-Security-Policy "default-src 'none'; frame-src 'self'; font-src 'self';img-src 'self' siwecos.de; object-src 'self'; script-src 'self'; style-src 'self';"
 
 
 
</pre>
 
  
--snap
+
Header set Content-Security-Policy "default-src 'none'; frame-src 'self'; font-src 'self';img-src 'self' siwecos.de; object-src  'self'; script-src 'self'; style-src 'self';"
  
Hier finden Sie ein Beispiel, wie eine .htaccess -Datei aussehen kann, um den '''HTTP-Security-Header-Scanner''' Grün zu stimmen.
+
Hier finden Sie ein Beispiel, wie eine .htaccess-Datei aussehen kann, um einen höheren Wert beim '''Header Scanner''' zu erzielen.
 
([[Htaccess/DE|.htaccess-Beispiel]])
 
([[Htaccess/DE|.htaccess-Beispiel]])

Aktuelle Version vom 12. Juni 2019, 16:46 Uhr

Wenn die Content Security Policy nicht sicher konfiguriert ist, lädt Ihre Webanwendung eventuell Inhalte aus unsicheren Quellen nach.

Verwenden Sie den CSP mit default-src 'none' oder 'self' und ohne 'unsafe-eval' oder 'unsafe-inline' Richtlinien. Mehr zu Content Security Policy (zu deutsch etwa "Richtlinie für die Sicherheit der Inhalte") finden Sie bei SELFHTML >>

Beispiele für den Header der Startseite:

<meta http-equiv="Content-Security-Policy" content="default-src 'self'; script-src 'self'">
<meta http-equiv="X-Content-Security-Policy" content="default-src 'self'; script-src 'self'">
<meta http-equiv="X-WebKit-CSP" content="default-src 'self'; script-src 'self'">

Konfiguration des Webservers

Wenn man seinen eigenen Webserver konfigurieren kann, was bei günstigen Hostingangeboten in aller Regel nicht der Fall ist, dann gibt es diese Einstellungsmöglichkeit über die Bearbeitung der .htaccess:

# Download: Lade Inhalte nur von Seiten, die explizit erlaubt sind
# Beispiel: Alles von der eigenen Domain erlauben, keine Externas:
Header set Content-Security-Policy "default-src 'none'; frame-src 'self'; font-src 'self';img-src 'self' siwecos.de; object-src   'self'; script-src 'self'; style-src 'self';"

Hier finden Sie ein Beispiel, wie eine .htaccess-Datei aussehen kann, um einen höheren Wert beim Header Scanner zu erzielen. (.htaccess-Beispiel)