Content-Security-Policy (CSP) ist ein HTTP-Response-Header, mit dem du kontrollieren kannst, welche Ressourcen (Skripte, Styles, Bilder, Schriftarten usw.) der Browser auf deiner Seite laden darf. Es ist eine der effektivsten Verteidigungen gegen Cross-Site-Scripting (XSS)-Angriffe.
Warum CSP wichtig ist
XSS-Angriffe gehören zu den häufigsten Web-Schwachstellen. Ein Angreifer schleust bösartiges JavaScript in deine Seite ein, das dann im Browser deiner Besucher ausgeführt wird. CSP verhindert dies, indem genau festgelegt wird, welche Quellen vertrauenswürdig sind:
- Blockiert Inline-Skripte, die von Angreifern injiziert werden
- Verhindert das Laden von Skripten aus nicht autorisierten Domains
- Meldet Verstöße, damit du Angriffsversuche überwachen kannst
Beispiel-Header
Content-Security-Policy: default-src 'self'; script-src 'self' https://cdn.example.com; style-src 'self' 'unsafe-inline'; img-src 'self' data: https:; font-src 'self' https://fonts.gstatic.comWichtige Direktiven
default-src— Fallback-Richtlinie für alle Ressourcentypen.script-src— Erlaubte Quellen für JavaScript.style-src— Erlaubte Quellen für CSS.img-src— Erlaubte Quellen für Bilder.font-src— Erlaubte Quellen für Schriftarten.connect-src— Erlaubte Ziele für AJAX-, WebSocket- und Fetch-Anfragen.frame-src— Erlaubte Quellen für iframes.
CSP und WordPress
Die Implementierung von CSP bei WordPress kann herausfordernd sein, da viele Plugins und Themes Inline-Skripte und -Styles verwenden. Beginne mit Content-Security-Policy-Report-Only, um Verstöße zu überwachen ohne die Funktionalität zu beeinträchtigen, und verschärfe die Richtlinie dann schrittweise.
Was InspectWP prüft
InspectWP prüft, ob deine Seite einen Content-Security-Policy-Header sendet. Fehlt dieser, deutet es darauf hin, dass deine Seite keinen CSP-Schutz gegen XSS und andere Injektionsangriffe hat.