Selektives Freischalten von Features: Feature Policy, Permissions Policy und Co.
15.03.2021, 00:00 Uhr
Browser mit Impfpass
Wenn eine Website exakt vorgibt, welche Features von ihr verwendet werden dürfen, kann das bestimmte Angriffe verhindern.
Im vorangegangenen Artikel dieser Reihe [1] haben wir Content Security Policy (CSP) als „Defense in depth“-Maßnahme vorgestellt. Per HTTP-Header oder HTML-Element gibt eine Webseite dabei exakt an, von welchen Servern welche Arten von Ressourcen bezogen und ausgeführt werden dürfen. Dies kann die Angriffsfläche bestimmter Gefahren, allen voran Cross-Site Scripting (XSS), erheblich verringern oder gar ganz auslöschen.
Dieses Mal gehen wir einen Schritt weiter und geben mehr an als nur, woher der Code kommen muss, den die Website ausführt. Viel besser noch: Wir legen vorab fest, auf welche Browser-Features dieser Code zugreifen darf. Sollte dann trotzdem ein Angriff möglich sein, hat dieser im Fall der Fälle nur einen sehr reduzierten Satz an Möglichkeiten zur Verfügung.
Jetzt 1 Monat kostenlos testen!
Sie wollen zukünftig auch von den Vorteilen eines plus-Abos profitieren? Werden Sie jetzt dotnetpro-plus-Kunde.
- + Digitales Kundenkonto,
- + Zugriff auf das digitale Heft,
- + Zugang zum digitalen Heftarchiv,
- + Auf Wunsch: Weekly Newsletter,
- + Sämtliche Codebeispiele im digitalen Heftarchiv verfügbar
