Content Security Policy (CSP)

Content Security Policy (CSP) ist eine von Webbrowsern implementierte Sicherheitsfunktion, die Angriffe wie Cross-Site Scripting (XSS) und Data Injection-Angriffe verhindert, indem sie Entwicklern von Webanwendungen die Kontrolle über die Ressourcen gibt, die eine Webseite laden und ausführen kann.

Mit CSP kann eine Webanwendung festlegen, welche Domänen Ressourcen wie JavaScript- oder CSS-Dateien an die Webseite liefern dürfen. Dies hilft, das Risiko einer böswilligen Einschleusung von clientseitigem Code zu verringern, da der Browser nur Ressourcen aus vertrauenswürdigen Quellen ausführen wird.

CSP wird über einen HTTP-Header implementiert, der in der Antwort des Servers an den Client gesendet wird. Der Header gibt eine Reihe von Regeln an, die der Browser beim Laden von Ressourcen für die Seite durchsetzen soll. Die Regeln können sehr spezifisch sein, so dass nur bestimmte Domains oder nur bestimmte Arten von Ressourcen geladen werden können.

CSP kann ein sehr wirksames Mittel sein, um das Risiko von Angriffen auf der Client-Seite zu verringern, aber es kann auch schwierig sein, sie richtig umzusetzen. Es ist wichtig, die Richtlinie sorgfältig zu testen, um sicherzustellen, dass sie die Funktionalität der Webanwendung nicht beeinträchtigt.