Abo
  • Services:

Bilder, Fonts und andere

Neben externen Skripten ermöglicht es Content Security Policy auch zu definieren, aus welchen Quellen Elemente wie Bilder (img-src), Schriftarten (font-src), Frames (frame-src) und zahlreiche andere Arten von Inhalten eingefügt werden können. Eine vollständige Übersicht findet sich in den Spezifikationen der Content Security Policy. Verschiedene Direktiven können durch Strichpunkte (;) abgetrennt werden. Ein Beispiel wäre etwa script-src 'self';img-src 'self' images.example.com. Hier wäre Script-Code nur von der eigenen Domain zulässig, Bilder können zusätzlich von der Domain images.example.com nachgeladen werden.

Stellenmarkt
  1. Fraunhofer-Institut für Arbeitswirtschaft und Organisation IAO, Stuttgart, Esslingen
  2. eco Verband der Internetwirtschaft e.V., Köln

Als besondere Direktive existiert noch default-src, diese bezieht sich auf sämtliche Inhalte, die extern eingebunden werden können. Eine später aufgelistete Direktive überschreibt immer alle vorherigen. So könnte man etwa mit default-src 'self';script-src 'self' script.example.com sämtliche Inhalte nur vom eigenen Server zulassen, lediglich Script-Code darf vom externen Server script.example.com eingebunden werden.

Die Standardeinstellung für alle Medieninhalte ist aber, dass diese grundsätzlich zugelassen werden.

Sonderfall Inline-Code

Einen Spezialfall stellt sogenannter Inline-Javascript-Code dar. Üblicherweise kann an jeder Stelle in einem HTML-Dokument beliebiger Javascript-Code stehen, dazu gibt es die Möglichkeit, HTML-Elementen bei bestimmten Ereignissen wie etwa einem Klick Javascript-Code zuzuweisen. Das folgende, triviale Beispiel etwa würde ein Pop-up öffnen:

<script>alert(1)</script>

Derartiger Inline-Code wird in Content Security Policy mit einem speziellen Keyword 'unsafe-inline' gesteuert. Da Inline-Code üblicherweise für die meisten Cross-Site-Scripting-Angriffe verantwortlich ist, sollte dieser unbedingt vermieden werden. Obiges Beispiel müsste man hierzu in eine externe Datei auslagern:

<script src="test.js"></script>

Die Datei test.js enthält dann den gewünschten Code - im genannten Beispiel das simple alert(1).

Für CSS-Formatierungen gilt Ähnliches. Ohne das Keyword 'unsafe-inline' bei style-src sind direkte Angaben von Formatierungen in HTML-Code nicht mehr möglich, sie müssen in eine separate CSS-Datei ausgelagert werden.

Ausführen von Code in Code

Javascript bietet die Möglichkeit, mit dem Kommando eval() innerhalb von Javascript-Code einen String wiederum als Code auszuführen. Das kann in manchen Fällen nützlich sein, jedoch birgt es auch ein Sicherheitsrisiko. Wenn ein Entwickler einem eval-Befehl ein Stück Code übergibt, das eine Nutzereingabe enthält, ergibt sich hier wiederum eine Cross-Site-Scripting-Lücke.

Aus diesem Grund lässt sich mit Content Security Policy die Ausführung von Code mit eval() und anderen Befehlen, die Vergleichbares ermöglichen, deaktivieren. Gesteuert wird dies durch das Keyword 'unsafe-eval'.

Berichte an den Anwendungsentwickler

Wenn Content Security Policy die Ausführung von Code oder das Einfügen eines Elements verhindert, ist dies ein Zeichen dafür, dass eine Lücke oder ein Bug in einer Anwendung existieren. Daher gibt es für Webentwickler die Möglichkeit, sich informieren zu lassen, wenn eine entsprechende Codesperre greift. Im Header kann man eine URL angeben, an die vom Browser automatisch Berichte als POST-Daten gesendet werden.

Gekennzeichnet wird diese Berichts-URL durch das Stichwort report-uri. Ein Beispielheader sähe etwa so aus: default-src 'self'; script-src 'self' 'script.example.com'; report-uri /reportxss.php. Unter der angegebenen URL sollte dann ein serverseitiges Script laufen, welches die empfangenen Daten an den Webentwickler weiterleitet oder in ein Logfile schreibt.

Microsoft und Opera warten ab

Mit Content Security Policy existiert nun ein ausgefeiltes Werkzeug, um Cross-Site-Scripting-Angriffe zu unterbinden. Bislang wird es jedoch nur von Chrome und Firefox standardmäßig unterstützt, in anderen Browsern ist es entweder unvollständig oder nur über experimentelle Headernamen nutzbar. Der Internet Explorer unterstützt bisher nur ein spezielles Subfeature von Content Security Policy. Opera unterstützt das Konzept bisher überhaupt nicht. Apples Safari hat bislang wie oben erwähnt noch einen eigenen, experimentellen Header-Namen.

Weitere Informationen zum Einsatz von Content Security Policy lassen sich im englischsprachigen Tutorial An Introduction to Content Security Policy des Google-Entwicklers Mike West finden.

 Content Security Policy: Schutz vor Cross-Site-Scripting
  1.  
  2. 1
  3. 2
Zu den Kommentaren springen
Meistgelesen
  1. Rohstoffe
    Woher kommt das Kobalt für die E-Auto-Akkus?
  2. AWS, Azure, Alibaba, IBM Cloud
    Wo die Cloud hilft - und wo nicht
  3. Echo Connect im Test
    Telefonieren mit Alexa-Lautsprecher macht so keinen Spaß
  4. Headhunter
    Security-Experten können das dreifache Gehalt verlangen
  5. Gary Whitta
    Rogue-One-Autor findet EAs Umgang mit Star Wars "peinlich"
Anzeige
Top-Angebote
  1. 699,00€
  2. 699,00€
  3. 119,90€
  4. 19,99€
Kommentarübersicht
Re: Erfahrungsbericht
slashwalker 19. Nov 2014

Hatte CSP auch schon ausprobiert und mir ging es ähnlich wie dir. Dazu kommt noch das man...

Re: Nutze dass hier für den Firefox
Bibabuzzelmann 14. Jun 2013

Hm...ich mein es hat mal Alarm geschlagen, als ich auf ner verseuchten Seite unterwegs...

Re: Problematisch als Entwickler
Anonymer Nutzer 14. Jun 2013

Danke, dass hat mich zu einer Lösung gebracht, es hat gerade mal eine Zeile gefehlt...

Klar wartet Opera ab.
Missingno. 14. Jun 2013

Die verwenden doch jetzt Chrome.

Re: Und in der Druckversion wird der Code, der im...
Max-M 13. Jun 2013

Tatsache, die Tags stehen so im ausgegeben Quelltext ... *hust*

Folgen Sie uns
       
Touch-Projektoren von Bosch angesehen (CES 2019)

Die Projektoren von Bosch erlauben es, das projizierte Bild als Touch-Oberfläche zu verwenden. Das ergibt einige interessante Anwendungsmöglichkeiten.

Touch-Projektoren von Bosch angesehen (CES 2019) Video aufrufen
CES 2019
Padrone angesehen: Eine Mausalternative, die funktioniert
Padrone angesehen
Eine Mausalternative, die funktioniert

CES 2019 Ein Ring soll die Computermaus ersetzen: Am Zeigefinger getragen macht Padrone jede Oberfläche zum Touchpad. Der Prototyp fühlt sich bei der Bedienung überraschend gut an.
Von Tobias Költzsch

  1. Videostreaming Plex will Filme und Serien kostenlos und im Abo anbieten
  2. People Mover Rollende Kisten ohne Fahrer
  3. Solar Cow angesehen Elektrische Kuh gibt Strom statt Milch
Elektromobilität
Elektroauto: Eine Branche vor der Zerreißprobe
Elektroauto
Eine Branche vor der Zerreißprobe

2019 wird ein spannendes Jahr für die Elektromobilität. Politik und Autoindustrie stehen in diesem Jahr vor Entwicklungen, die über die Zukunft bestimmen. Doch noch ist die Richtung unklar.
Eine Analyse von Dirk Kunde

  1. Kalifornien Ab 2029 müssen Stadtbusse elektrisch fahren
  2. Monowheel Z-One One Die Elektro-Vespa auf einem Rad
  3. 2nd Life Ausgemusterte Bus-Akkus speichern jetzt Solarenergie
Politiker-Hack
Datenleak: Die Fehler, die 0rbit überführten
Datenleak
Die Fehler, die 0rbit überführten

Er ließ sich bei einem Hack erwischen, vermischte seine Pseudonyme und redete zu viel - Johannes S. hinterließ viele Spuren. Trotzdem brauchte die Polizei offenbar einen Hinweisgeber, um ihn als mutmaßlichen Täter im Politiker-Hack zu überführen.

  1. Datenleak Bundestagsabgeordnete sind Zwei-Faktor-Muffel
  2. Datenleak Telekom und Politiker wollen härtere Strafen für Hacker
  3. Datenleak BSI soll Frühwarnsystem für Hackerangriffe aufbauen
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /