Content Security Policy (CSP)

Eine Content Security Policy lässt sich am besten mit einer strengen Gästeliste an einem Türsteher vergleichen, die ganz genau festlegt, welche Inhalte überhaupt eingelassen werden dürfen und welche von vornherein abgewiesen werden, statt jeden potenziellen Gast unkontrolliert hereinzulassen. Technisch ist eine CSP eine Sicherheitsrichtlinie, die ein Webserver über einen speziellen HTTP-Header an den Browser übermittelt und die genau vorgibt, aus welchen Quellen der Browser überhaupt Skripte, Bilder, Schriftarten oder andere Inhalte laden und ausführen darf. Definiert eine Webseite etwa in ihrer CSP, dass JavaScript ausschließlich von der eigenen Domain geladen werden darf, würde der Browser jeden Versuch, zusätzlichen, von einer fremden, nicht autorisierten Quelle stammenden Skriptcode auszuführen, automatisch blockieren – selbst wenn es einem Angreifer im Rahmen eines XSS-Angriffs gelungen wäre, einen entsprechenden Code in die Seite einzuschleusen. Eine konsequent konfigurierte CSP fungiert damit als wichtige, zusätzliche Verteidigungslinie, die selbst dann noch greift, wenn andere Schutzmaßnahmen bereits versagt haben sollten. Die konkrete Konfiguration einer CSP kann allerdings durchaus aufwendig sein, da viele moderne Webseiten legitim Inhalte von mehreren externen Quellen einbinden – etwa ein eingebettetes Video, eine externe Schriftart oder Tracking- und Analyse-Skripte –, die alle explizit in der Richtlinie als vertrauenswürdig hinterlegt werden müssen, ohne dabei die Richtlinie so weit zu öffnen, dass ihr eigentlicher Schutzzweck verloren geht. Aus diesem Grund wird eine CSP häufig schrittweise eingeführt, zunächst im reinen Beobachtungsmodus, um mögliche, unbeabsichtigte Blockierungen legitimer Inhalte frühzeitig zu erkennen, bevor die Richtlinie tatsächlich aktiv durchgesetzt wird.