Abo
  • Services:
Anzeige
Content Security Policies sollen vor Cross-Site-Scripting schützen.
Content Security Policies sollen vor Cross-Site-Scripting schützen. (Bild: virtualforge.de/Screenshot: Golem.de)

Bilder, Fonts und andere

Neben externen Skripten ermöglicht es Content Security Policy auch zu definieren, aus welchen Quellen Elemente wie Bilder (img-src), Schriftarten (font-src), Frames (frame-src) und zahlreiche andere Arten von Inhalten eingefügt werden können. Eine vollständige Übersicht findet sich in den Spezifikationen der Content Security Policy. Verschiedene Direktiven können durch Strichpunkte (;) abgetrennt werden. Ein Beispiel wäre etwa script-src 'self';img-src 'self' images.example.com. Hier wäre Script-Code nur von der eigenen Domain zulässig, Bilder können zusätzlich von der Domain images.example.com nachgeladen werden.

Anzeige

Als besondere Direktive existiert noch default-src, diese bezieht sich auf sämtliche Inhalte, die extern eingebunden werden können. Eine später aufgelistete Direktive überschreibt immer alle vorherigen. So könnte man etwa mit default-src 'self';script-src 'self' script.example.com sämtliche Inhalte nur vom eigenen Server zulassen, lediglich Script-Code darf vom externen Server script.example.com eingebunden werden.

Die Standardeinstellung für alle Medieninhalte ist aber, dass diese grundsätzlich zugelassen werden.

Sonderfall Inline-Code

Einen Spezialfall stellt sogenannter Inline-Javascript-Code dar. Üblicherweise kann an jeder Stelle in einem HTML-Dokument beliebiger Javascript-Code stehen, dazu gibt es die Möglichkeit, HTML-Elementen bei bestimmten Ereignissen wie etwa einem Klick Javascript-Code zuzuweisen. Das folgende, triviale Beispiel etwa würde ein Pop-up öffnen:

<script>alert(1)</script>

Derartiger Inline-Code wird in Content Security Policy mit einem speziellen Keyword 'unsafe-inline' gesteuert. Da Inline-Code üblicherweise für die meisten Cross-Site-Scripting-Angriffe verantwortlich ist, sollte dieser unbedingt vermieden werden. Obiges Beispiel müsste man hierzu in eine externe Datei auslagern:

<script src="test.js"></script>

Die Datei test.js enthält dann den gewünschten Code - im genannten Beispiel das simple alert(1).

Für CSS-Formatierungen gilt Ähnliches. Ohne das Keyword 'unsafe-inline' bei style-src sind direkte Angaben von Formatierungen in HTML-Code nicht mehr möglich, sie müssen in eine separate CSS-Datei ausgelagert werden.

Ausführen von Code in Code

Javascript bietet die Möglichkeit, mit dem Kommando eval() innerhalb von Javascript-Code einen String wiederum als Code auszuführen. Das kann in manchen Fällen nützlich sein, jedoch birgt es auch ein Sicherheitsrisiko. Wenn ein Entwickler einem eval-Befehl ein Stück Code übergibt, das eine Nutzereingabe enthält, ergibt sich hier wiederum eine Cross-Site-Scripting-Lücke.

Aus diesem Grund lässt sich mit Content Security Policy die Ausführung von Code mit eval() und anderen Befehlen, die Vergleichbares ermöglichen, deaktivieren. Gesteuert wird dies durch das Keyword 'unsafe-eval'.

Berichte an den Anwendungsentwickler

Wenn Content Security Policy die Ausführung von Code oder das Einfügen eines Elements verhindert, ist dies ein Zeichen dafür, dass eine Lücke oder ein Bug in einer Anwendung existieren. Daher gibt es für Webentwickler die Möglichkeit, sich informieren zu lassen, wenn eine entsprechende Codesperre greift. Im Header kann man eine URL angeben, an die vom Browser automatisch Berichte als POST-Daten gesendet werden.

Gekennzeichnet wird diese Berichts-URL durch das Stichwort report-uri. Ein Beispielheader sähe etwa so aus: default-src 'self'; script-src 'self' 'script.example.com'; report-uri /reportxss.php. Unter der angegebenen URL sollte dann ein serverseitiges Script laufen, welches die empfangenen Daten an den Webentwickler weiterleitet oder in ein Logfile schreibt.

Microsoft und Opera warten ab

Mit Content Security Policy existiert nun ein ausgefeiltes Werkzeug, um Cross-Site-Scripting-Angriffe zu unterbinden. Bislang wird es jedoch nur von Chrome und Firefox standardmäßig unterstützt, in anderen Browsern ist es entweder unvollständig oder nur über experimentelle Headernamen nutzbar. Der Internet Explorer unterstützt bisher nur ein spezielles Subfeature von Content Security Policy. Opera unterstützt das Konzept bisher überhaupt nicht. Apples Safari hat bislang wie oben erwähnt noch einen eigenen, experimentellen Header-Namen.

Weitere Informationen zum Einsatz von Content Security Policy lassen sich im englischsprachigen Tutorial An Introduction to Content Security Policy des Google-Entwicklers Mike West finden.

 Content Security Policy: Schutz vor Cross-Site-Scripting

eye home zur Startseite
slashwalker 19. Nov 2014

Hatte CSP auch schon ausprobiert und mir ging es ähnlich wie dir. Dazu kommt noch das man...

Bibabuzzelmann 14. Jun 2013

Hm...ich mein es hat mal Alarm geschlagen, als ich auf ner verseuchten Seite unterwegs...

Anonymer Nutzer 14. Jun 2013

Danke, dass hat mich zu einer Lösung gebracht, es hat gerade mal eine Zeile gefehlt...

Missingno. 14. Jun 2013

Die verwenden doch jetzt Chrome.

Max-M 13. Jun 2013

Tatsache, die Tags stehen so im ausgegeben Quelltext ... *hust*



Anzeige

Stellenmarkt
  1. DATAGROUP Köln GmbH, Monheim am Rhein
  2. Fresenius Netcare GmbH, Bad Homburg
  3. Robert Bosch GmbH, Leonberg
  4. SIKA DEUTSCHLAND GMBH, Stuttgart


Anzeige
Top-Angebote
  1. 219,00€
  2. 21,49€ (ohne Prime bzw. unter 29€ Einkauf zzgl. 3€ Versand) - Vergleichspreis 28€
  3. 3,99€

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Globale SAP-Anwendungsunterstützung durch Outsourcing
  2. Praxiseinsatz, Nutzen und Grenzen von Hadoop und Data Lakes


  1. Classic Factory

    Elextra, der Elektro-Supersportwagen aus der Schweiz

  2. Docsis 3.1

    AVM arbeitet an 10-GBit/s-Kabelrouter

  3. Upspin

    Google-Angestellte basteln an globalem File-Sharing-System

  4. Apple Park

    Apple bezieht das Raumschiff

  5. Google Cloud Platform

    Tesla-Grafik für maschinelles Lernen verfügbar

  6. Ryzen

    AMDs Achtkern-CPUs sind schneller als erwartet

  7. Deutsche Glasfaser

    Gemeinde erreicht Glasfaser-Quote am letzten Tag

  8. Suchmaschine

    Google macht angepasste Site Search dicht

  9. Hawkspex mobile

    Diese App macht das Smartphone zum Spektrometer

  10. Asus Tinker Board im Test

    Buntes Lotterielos rechnet schnell



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Bundesnetzagentur: Puppenverbot gefährdet das Smart Home und Bastler
Bundesnetzagentur
Puppenverbot gefährdet das Smart Home und Bastler
  1. My Friend Cayla Eltern müssen Puppen ihrer Kinder zerstören
  2. Matoi Imagno Wenn die Holzklötzchen zu dir sprechen
  3. Smart Gurlz Programmieren lernen mit Puppen

Intel C2000: Weiter Unklarheit zur Häufung von NAS-Ausfällen
Intel C2000
Weiter Unklarheit zur Häufung von NAS-Ausfällen
  1. Super Bowl Lady Gaga singt unter einer Flagge aus Drohnen
  2. Lake Crest Intels Terminator-Chip mit Terabyte-Bandbreite
  3. Compute Card Intel plant Rechnermodul mit USB Type C

XPS 13 (9360) im Test: Wieder ein tolles Ultrabook von Dell
XPS 13 (9360) im Test
Wieder ein tolles Ultrabook von Dell
  1. Die Woche im Video Die Selbstzerstörungssequenz ist aktiviert
  2. XPS 13 Convertible im Hands on Dells 2-in-1 ist kompakter und kaum langsamer

  1. Re: Implementieren die jetzt brtfs-Raid endlich...

    UVzk | 18:40

  2. Re: geschicktes Marketing

    ckerazor | 18:40

  3. Lumia 950 eher nicht für den rauen Einsatz

    cicero | 18:39

  4. Re: Offtopic: > 700 Kommentare. Gab es das hier...

    plutoniumsulfat | 18:38

  5. Re: Biete Job für Linux-Profi in Bremen

    quineloe | 18:38


  1. 18:05

  2. 16:33

  3. 16:23

  4. 16:12

  5. 15:04

  6. 15:01

  7. 14:16

  8. 13:04


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel