CSP-Analyzer

Eine Content Security Policy ist ein HTTP-Antwort-Header, der Browsern mitteilt, welche Quellen Skripte, Styles, Bilder und andere Ressourcen auf Ihrer Seite laden dürfen. Sie ist die primäre Verteidigung gegen Cross-Site-Scripting (XSS)-Angriffe — eine korrekt konfigurierte CSP verhindert die Ausführung eingeschleuster Skripte, selbst wenn ein Angreifer eine XSS-Schwachstelle findet.

'unsafe-inline' erlaubt Inline-JavaScript (Skripte in <script>-Tags, onclick-Attributen, javascript:-URLs). Dies ist der häufigste XSS-Vektor — es bedeutet, dass jedes eingeschleuste Inline-Skript ausgeführt werden kann. Die Verwendung von Nonces (kryptografische Einmal-Token, die pro Anfrage generiert werden) oder Hashes (SHA-256 erlaubter Skripte) ermöglicht es, bestimmte Inline-Skripte zu erlauben, ohne alle Inline-Skripte zu aktivieren.

Ihre script-src- und connect-src-Direktiven sind im Wesentlichen eine Berechtigungsliste, wer Code ausführen und Daten von Ihrer Seite empfangen darf. Wenn Sie Google Analytics, Facebook, TikTok und LinkedIn in Ihrer CSP whitelisted haben, autorisieren Sie diese Unternehmen explizit, Code auf Ihren Seiten auszuführen und potenziell Nutzerdaten zu exfiltrieren. Dies ist eine DSGVO-Datenverarbeiterliste, versteckt in Ihren HTTP-Headern.

object-src steuert die <object>-, <embed>- und <applet>-Elemente — historisch verwendet, um Flash, Java und andere Plugins zu laden. Das Setzen von object-src: 'none' verhindert das Laden von Plugin-Inhalten und eliminiert eine ganze Klasse von Angriffen und potenzielle Drittanbieter-Datenexfiltration über Plugin-Inhalte. Dies sollte auf modernen Websites immer auf 'none' gesetzt werden.

Content-Security-Policy erzwingt die Richtlinie — Browser blockieren Verstöße. Content-Security-Policy-Report-Only protokolliert Verstöße nur an einen Report-Endpunkt, ohne etwas zu blockieren. Report-Only ist nützlich, um eine neue CSP vor der Durchsetzung zu testen, bietet aber keinerlei tatsächlichen Schutz. Ein häufiger Fehler ist das versehentliche Einsetzen von Report-Only statt des durchgesetzten Headers.

Die meisten CSP-Tools prüfen nur unsafe-inline und fehlende Direktiven. Dieser Analyzer vergleicht zusätzlich Ihre script-src- und connect-src-Einträge mit einer Datenbank von mehr als 35 bekannten Tracker- und Werbedomains und zeigt Ihnen genau, welche Datenhändler und Werbenetzwerke explizite CSP-Berechtigung haben, auf Ihrer Website zu operieren — ein einzigartiger datenschutzorientierter Ansatz.

base-uri steuert, welche URLs im <base>-HTML-Element verwendet werden können. Wenn eine Website für HTML-Injection (aber nicht Script-Injection) anfällig ist, kann ein Angreifer <base href="https://angreifer.com/"> einschleusen, um alle relativen URLs — wie Formular-Action-Ziele — auf seinen Server umzuleiten. Das Setzen von base-uri: 'none' oder base-uri: 'self' eliminiert diesen Angriffsvektor.