Defaults.Exposed › Glossary › Content-Security-Policy (CSP)

Content-Security-Policy (CSP)

Also known as: CSP, Content Security Policy

Ein Regelwerk, das Ihre Seite dem Browser übergibt und genau auflistet, welcher Code und welche Inhalte ausgeführt werden dürfen — die wichtigste Abwehr dagegen, dass Angreifer bösartige Skripte in Ihre Seiten einschleusen.

Was es ist

Eine Content-Security-Policy, kurz CSP, ist eine Liste von Regeln, die Ihre Website dem Browser des Besuchers übergibt und festlegt, welche Skripte, Bilder, Stile und sonstigen Inhalte geladen und ausgeführt werden dürfen — und damit implizit alles andere blockiert. Es ist, als gäbe man dem Browser eine Gästeliste und wiese ihn an, jeden abzuweisen, der nicht darauf steht.

Warum es für Ihr Geschäft wichtig ist

Einer der häufigsten Website-Angriffe ist das Einschleusen von bösartigem Code in eine Seite — über ein Kommentarfeld, ein Formular, ein gekapertes Plug-in oder ein kompromittiertes Drittanbieter-Widget. Sobald dieser Code im Browser eines Besuchers läuft, kann er Logins stehlen, Sitzungen kapern, beim Bezahlen Kartendaten abgreifen oder die Seite verunstalten.

Eine CSP ist der Sicherheitsgurt dagegen. Selbst wenn ein Angreifer Code einschleust, weigert sich der Browser, irgendetwas auszuführen, das nicht auf Ihrer freigegebenen Liste steht — so verpufft der Angriff, statt zu zünden. Für ein Unternehmen, das auf seiner Seite Zahlungen oder Logins entgegennimmt, ist dies einer der wertvollsten Schutzmechanismen überhaupt, und er kostet nichts.

Woran Sie es erkennen / was zu tun ist

Unser kostenloser Checker sagt Ihnen, ob Ihre Seite eine Content-Security-Policy sendet, und markiert, wenn sie fehlt. Da eine CSP die spezifischen Inhalte Ihrer Seite auflistet, muss sie maßgeschneidert werden — die CSP-Anleitung führt Schritt für Schritt durch das sorgfältige Erstellen, sodass sie Sie schützt, ohne etwas zu beschädigen, das Ihre Seite rechtmäßig nutzt. Die Einrichtung ist kostenlos.

Want to fix this on your own domain? See the free guide →