Schutz vor XSS und mehr: Content Security Policy
15.02.2021, 00:00 Uhr
Der Browser als Türsteher
Cross-Site Scripting (XSS) gibt es seit über 20 Jahren, es ist aber nicht totzukriegen – oder vielleicht doch? Mit Content Security Policy besteht Hoffnung.
Bereits seit 1998 gibt es Cross-Site Scripting, ein etwas unglücklicher Name für etwas, das man besser „JavaScript & HTML Injection“ hätte taufen können. Doch auch zwei Dekaden später ist dieser Angriff immer noch Teil der OWASP-Top-Ten und nicht totzukriegen, auch wenn Frameworks mittlerweile alles Mögliche tun, um XSS zu erschweren. Es liegt also doch beim Entwicklungsteam, sich dem Angriff entgegenzustellen. Seit einiger Zeit helfen Browser dabei und bieten mit Content Security Policy (CSP) einen W3C-Standard an, der zahlreiche XSS-Angriffsvektoren schließen kann.
Ein Wort der Warnung vorweg: Content Security Policy ist eine „Defense in depth“-Maßnahme, ersetzt also keinen XSS-Schutz direkt im Code. Doch während normalerweise Redundanz in der Information etwas Schlechtes ist, kann sie im Bereich Sicherheit nützlich sein. Wenn ein Schutzmechanismus fehlschlägt, ist immer noch der zweite da.
Jetzt 1 Monat kostenlos testen!
Sie wollen zukünftig auch von den Vorteilen eines plus-Abos profitieren? Werden Sie jetzt dotnetpro-plus-Kunde.
- + Digitales Kundenkonto,
- + Zugriff auf das digitale Heft,
- + Zugang zum digitalen Heftarchiv,
- + Auf Wunsch: Weekly Newsletter,
- + Sämtliche Codebeispiele im digitalen Heftarchiv verfügbar
