Content Security Policy (CSP): Der moderne Schutzschild für Ihre Webseite

Eine der größten Bedrohungen für Webseiten sind Cross-Site Scripting (XSS)-Angriffe, bei denen Angreifer bösartigen Code in Ihre Seite einschleusen. Eine Content Security Policy (CSP) ist ein moderner Sicherheitsstandard, der diesem Treiben einen Riegel vorschiebt. Sie ist wie eine detaillierte Firewall, die im Browser des Besuchers läuft.

Mit einer CSP definieren Sie exakt, von welchen Quellen Ihr Browser Skripte, Stylesheets, Bilder oder andere Ressourcen laden darf. Alles andere wird blockiert. Wir zeigen Ihnen, wie Sie eine grundlegende CSP über die .htaccess-Datei einrichten.

Wie funktioniert eine CSP?

Sie senden mit Ihrer Webseite einen speziellen HTTP-Header, der dem Browser eine Liste von erlaubten Quellen gibt. Zum Beispiel:

• default-src 'self': Erlaubt standardmäßig nur Ressourcen von der eigenen Domain.
• script-src 'self' https://stats.google.com: Erlaubt JavaScript nur von der eigenen Domain und von Google Analytics.
• img-src 'self' data:: Erlaubt Bilder von der eigenen Domain und Base64-kodierte Bilder.

Implementierung in der .htaccess:

 Header set Content-Security-Policy "default-src 'self'; script-src 'self'; style-src 'self'; font-src 'self'; img-src 'self';"

Eine CSP einzurichten erfordert Sorgfalt, da man versehentlich auch legitime Skripte blockieren kann. Aber der Sicherheitsgewinn ist enorm. Starten Sie noch heute mit einem grundlegenden Schutzschild!

Hashtags:
#ContentSecurityPolicy, #CSP, #Websicherheit, #Cybersecurity, #XSS, #htaccess, #HTTPHeaders, #Sicherheitslücke, #Webmaster, #FrontendSecurity, #Datenschutz, #SecureCoding