Quelle: dotnetpro
Selektives Freischalten von Features: Feature Policy, Permissions Policy und Co. 15.03.2021, 00:00 Uhr

Browser mit Impfpass

Wenn eine Website exakt vorgibt, welche Features von ihr verwendet werden dürfen, kann das bestimmte Angriffe verhindern.
Im vorangegangenen Artikel dieser Reihe [1] haben wir Content Security Policy (CSP) als „Defense in depth“-Maßnahme vorgestellt. Per HTTP-Header oder HTML-Element gibt eine Webseite dabei exakt an, von welchen Servern welche Arten von Ressourcen bezogen und ausgeführt werden dürfen. Dies kann die Angriffsfläche bestimmter Gefahren, allen voran Cross-Site Scripting (XSS), erheblich verringern oder gar ganz auslöschen.
Dieses Mal gehen wir einen Schritt weiter und geben mehr an als nur, woher der Code kommen muss, den die Website ausführt. Viel besser noch: Wir legen vorab fest, auf welche Browser-Features dieser Code zugreifen darf.  Sollte dann trotzdem ein Angriff möglich sein, hat dieser im Fall der Fälle nur einen sehr reduzierten Satz an Möglichkeiten zur Verfügung.

dotnetpro

Sie wollen zukünftig auch von den Vorteilen eines plus-Abos profitieren? Werden Sie jetzt dotnetpro-plus-Kunde
  • 2 Monate Gratis testen
  • Über 4.000 qualifizierte Fachartikel
  • Auf jedem Gerät verfügbar