Quelle: dotnetpro
Schutz vor XSS und mehr: Content Security Policy 15.02.2021, 00:00 Uhr

Der Browser als Türsteher

Cross-Site Scripting (XSS) gibt es seit über 20 Jahren, es ist aber nicht totzukriegen – oder vielleicht doch? Mit Content Security Policy besteht Hoffnung.
Bereits seit 1998 gibt es Cross-Site Scripting, ein etwas unglücklicher Name für etwas, das man besser „JavaScript & HTML Injection“ hätte taufen können. Doch auch zwei Dekaden später ist dieser Angriff immer noch Teil der OWASP-Top-Ten und nicht totzukriegen, auch wenn Frameworks mittlerweile alles Mögliche tun, um XSS zu erschweren. Es liegt also doch beim Entwicklungsteam, sich dem Angriff entgegenzustellen. Seit einiger Zeit helfen Browser dabei und bieten mit Content Security Policy (CSP) einen W3C-Standard an, der zahlreiche XSS-Angriffsvektoren schließen kann.
Ein Wort der Warnung vorweg: Content Security Policy ist eine „Defense in depth“-Maßnahme, ersetzt also keinen XSS-Schutz direkt im Code. Doch während normalerweise Redundanz in der Information etwas Schlechtes ist, kann sie im Bereich Sicherheit nützlich sein. Wenn ein Schutzmechanismus fehlschlägt, ist immer noch der zweite da.

dotnetpro

Sie wollen zukünftig auch von den Vorteilen eines plus-Abos profitieren? Werden Sie jetzt dotnetpro-plus-Kunde
  • 2 Monate Gratis testen
  • Über 4.000 qualifizierte Fachartikel
  • Auf jedem Gerät verfügbar