CSP Content Security Policy

Für Sicherheit auf Websites

Als die ersten Seiten mit einem SSL-Zertifikat ausgestattet wurden und der Seitenaufruf mit https (das "s" steht für secure) erfolgte, wunderten wir uns, was denn an einem http-Aufruf unsicher sein soll. Immerhin verlangten die Webhoster ziemlich hohe Gebühren für SSL-Zertifikate. Mittlerweile sind alle relevanten Websites mit SSL ausgestattet.

Und nun kommt CSP. Worum geht es dabei eigentlich?

Es geht um das Laden von Inhalten: CSS, Bilder und vor allem JavaScript (JS). Ein ganz wesentlicher Faktor sind sogenannte Inline-Scripts. Das ist JS, welches direkt in die Seite eingebunden wurde, also ohne "script src". Was ziemlich praktisch war, wird künftig verpönt sein und man wird sich Lösungen überlegen müssen.

JavaScript ist die "Programmier"-Sprache auf dem Client, also dem Computer des Seitenbesuchers und damit eine ziemlich manipulierbare Sache. Inline-Scripts können auf dem Client manipuliert werden.

Geht es nicht auch ohne JS? Im Prinzip schon, aber dann wird es unsportlich und im wahrsten Sinne des Wortes langsam. Der Trend geht immer mehr zum Datenaustausch mit dem Webserver, ohne dass die Seite neu geladen werden muss. Dabei interagiert JS mit dem Webserver. Das macht die Website schnell und effektiv. Es verlangt aber ein sehr hohes Maß an Sicherheit.

CSP sorgt für diese Sicherheit. Noch handelt es sich bei CSP um eine wenig beachtetes Thema, aber das war auch bei SSL so und auf einmal wurden Seiten ohne SSL als "unsicher" bezeichnet und werden von manchen Schutzprogrammen sogar geblockt. Folglich ist die einzig richtige Strategie, CSP ab sofort bei allen Entwicklungen zu berücksichtigen.

Wenn Sie aktuell eine neue Website planen, sollten Sie die Agentur Ihrer Wahl auf die Umsetzung von CSP hinweisen. Es war noch nie verkehrt, sich auf kommende Herausforderungen vorzubereiten.