Glossar App Entwicklung

Content Security Policy (CSP)

CSP ist eine Sicherheitsrichtlinie f├╝r Webanwendungen, die es erm├Âglicht, die Quellen von Inhalten wie Skripten, Bildern, Stylesheets und anderen Ressourcen zu kontrollieren, um die Ausf├╝hrung von unsicheren oder b├Âsartigen Inhalten zu verhindern. Diese Richtlinie hilft dabei, die Angriffsfl├Ąche von Webanwendungen zu reduzieren und sch├╝tzt Benutzer vor verschiedenen Sicherheitsbedrohungen wie Cross-Site Scripting (XSS), Clickjacking und Dateninjektion.

CSP wird in der Regel durch das Setzen des Content-Security-Policy HTTP-Headers oder durch das Hinzuf├╝gen eines <meta> Tags im HTML-Code der Webseite implementiert. Eine CSP-Richtlinie besteht aus einer Reihe von Direktiven, die die erlaubten Quellen f├╝r verschiedene Ressourcentypen angeben. Einige h├Ąufig verwendete CSP-Direktiven sind:

  • default-src: Gibt die Standardquellen f├╝r alle Ressourcentypen an, wenn keine spezifische Direktive f├╝r einen bestimmten Ressourcentyp definiert ist.
  • script-src: Legt die erlaubten Quellen f├╝r Skripte fest.
  • img-src: Gibt die erlaubten Quellen f├╝r Bilder an.
  • style-src: Legt die erlaubten Quellen f├╝r Stylesheets fest.
  • font-src: Gibt die erlaubten Quellen f├╝r Schriftarten an.
  • frame-src: Legt die erlaubten Quellen f├╝r eingebettete Frames fest.
  • connect-src: Gibt die erlaubten Quellen f├╝r Verbindungen ├╝ber XMLHttpRequest, Fetch API, WebSocket und EventSource an.

Bei der Implementierung einer CSP-Richtlinie ist es wichtig, die richtige Balance zwischen Sicherheit und Benutzerfreundlichkeit zu finden. Eine zu restriktive Richtlinie kann dazu f├╝hren, dass legitime Inhalte blockiert werden und die Funktionalit├Ąt der Webanwendung beeintr├Ąchtigt wird, w├Ąhrend eine zu lockere Richtlinie m├Âglicherweise nicht ausreichend Schutz bietet.

Es ist empfehlenswert, die CSP-Richtlinie schrittweise zu entwickeln und zu testen, um sicherzustellen, dass sie den Anforderungen der Webanwendung entspricht und die Sicherheit der Benutzer gew├Ąhrleistet. Zus├Ątzlich sollten Webentwickler sicherstellen, dass alle von ihnen verwendeten externen Ressourcen vertrauensw├╝rdig sind und die erforderlichen Sicherheitsvorkehrungen getroffen wurden.