Praxisleitfaden zur Implementierung von Content Security Policy

CSP ist eine der wirkungsvollsten Abwehrmaßnahmen gegen XSS. Der Kerngedanke ist, nur explizit deklarierte Ressourcen zu erlauben und alles andere standardmäßig zu blockieren.

Wichtigste Direktiven

• default-src definiert die Grundlage der Richtlinie
• script-src und style-src sind meist am kritischsten
• connect-src und frame-ancestors sind ebenfalls wichtig

Einführungsstrategie

Beginnen Sie mit Report-Only, um zu sehen, was die Richtlinie brechen würde, und wenden Sie dann nonce oder hash für notwendige Inline-Inhalte an. Vermeiden Sie 'unsafe-inline' so weit wie möglich.

Moderne Härtungsmaßnahmen

Kombinieren Sie strict-dynamic, Trusted Types und upgrade-insecure-requests für eine solidere Sicherheitsposition. CSP Builder hilft, Regeln fehlerfrei zu erstellen.