In der sich ständig weiterentwickelnden Landschaft der Websicherheit hat sich Content Security Policy (CSP) als leistungsstarkes Tool herausgestellt, das Entwicklern hilft, ihre Anwendungen vor verschiedenen Formen von Angriffen, insbesondere vor Cross-Site-Angriffen, zu schützen Skripterstellung (XSS). Dieser Blog führt Sie durch die Grundlagen von CSP, wie Sie es implementieren, und bietet Beispiele aus der Praxis, die Ihnen helfen, seine Verwendung zu beherrschen.

Was ist eine Content Security Policy (CSP)?

Content Security Policy (CSP) ist eine Sicherheitsfunktion, die dabei hilft, eine Reihe von Angriffen zu verhindern, indem sie die Ressourcen kontrolliert, die eine Website laden und ausführen darf. Durch die Definition eines CSP können Sie angeben, welche Skripte, Stile und andere Ressourcen geladen werden können, wodurch das Risiko von XSS- und Dateninjektionsangriffen erheblich reduziert wird.

Warum CSP verwenden?

1. XSS-Angriffe abschwächen: Durch die Einschränkung der Quellen, aus denen Skripte geladen werden können, hilft CSP dabei, Angreifer daran zu hindern, bösartige Skripte einzuschleusen.

2. Steuern Sie das Laden von Ressourcen: Mit CSP können Sie steuern, von wo Ihre Website Ressourcen wie Bilder, Skripte, Stylesheets und mehr lädt.

3. Dateneinschleusung verhindern: CSP kann dabei helfen, Angriffe zu verhindern, die darauf abzielen, unerwünschte Daten in Ihre Website einzuschleusen.

Grundstruktur eines CSP

Ein CSP wird mithilfe des Content-Security-Policy-HTTP-Headers definiert. Hier ist ein einfaches Beispiel dafür, wie ein CSP-Header aussehen könnte:

Content-Security-Policy: default-src 'self'; script-src 'self' https://trusted.cdn.com; style-src 'self' 'unsafe-inline'

In dieser Richtlinie:

default-src 'self': Standardmäßig sind nur Ressourcen desselben Ursprungs zulässig.
script-src 'self' https://trusted.cdn.com: Erlaubt Skripte vom gleichen Ursprung und einem vertrauenswürdigen CDN.
style-src 'self' 'unsafe-inline': Stile vom gleichen Ursprung und Inline-Stile zulassen.

Implementieren von CSP in Ihrer JavaScript-Anwendung

Schritt 1: Definieren Sie Ihre Richtlinie

Ermitteln Sie zunächst, welche Ressourcen Ihre Anwendung laden muss. Dazu gehören Skripte, Stile, Bilder, Schriftarten usw.

Schritt 2: Fügen Sie Ihrem Server einen CSP-Header hinzu

Wenn Sie einen Express.js-Server verwenden, können Sie den CSP-Header wie folgt festlegen:

const express = require('express');
const helmet = require('helmet');
const app = express();

app.use(helmet.contentSecurityPolicy({
    directives: {
        defaultSrc: ["'self'"],
        scriptSrc: ["'self'", "https://trusted.cdn.com"],
        styleSrc: ["'self'", "'unsafe-inline'"],
        imgSrc: ["'self'", "data:"],
    }
}));

app.listen(3000, () => {
    console.log('Server is running on port 3000');
});

Schritt 3: Testen Sie Ihren CSP

Sobald Ihr CSP eingerichtet ist, testen Sie ihn gründlich. Verwenden Sie Browser-Entwicklertools, um zu überprüfen, ob Ressourcen blockiert werden. Passen Sie die Richtlinie nach Bedarf an, um sicherzustellen, dass Ihre Anwendung ordnungsgemäß funktioniert und gleichzeitig sicher bleibt.

Beispiel: Implementierung von CSP in einem Beispielprojekt

Betrachten wir eine einfache HTML-Seite, die Skripte und Stile von einem vertrauenswürdigen CDN lädt.

    
    
    
    
    


    
Content Security Policy Example
    
    

In diesem Beispiel:

• Standardmäßig sind nur Ressourcen desselben Ursprungs („self“) zulässig.
• Skripte sind vom gleichen Ursprung und vom CDN cdnjs.cloudflare.com zulässig.
• Inline-Stile sind zulässig („unsafe-inline“), dies sollte jedoch aus Sicherheitsgründen nach Möglichkeit vermieden werden.

Tipps für einen starken CSP

1. Vermeiden Sie „unsafe-inline“ und „unsafe-eval“: Diese ermöglichen Inline-Skripte und -Stile, die ausgenutzt werden können. Verwenden Sie stattdessen Nonce-basierte oder Hash-basierte Richtlinien.

2. Verwenden Sie den Nur-Bericht-Modus: Beginnen Sie mit „Content-Security-Policy-Report-Only“, um Verstöße zu protokollieren, ohne die Richtlinie durchzusetzen, sodass Sie die Richtlinie optimieren können.

3. Aktualisieren Sie den CSP regelmäßig: Stellen Sie bei der Weiterentwicklung Ihrer Anwendung sicher, dass Ihr CSP aktualisiert wird, um neue Ressourcenanforderungen und bewährte Sicherheitspraktiken widerzuspiegeln.

Abschluss

Die Implementierung einer robusten Inhaltssicherheitsrichtlinie ist ein entscheidender Schritt beim Schutz Ihrer JavaScript-Anwendungen vor einer Reihe von Angriffen. Wenn Sie die Grundlagen von CSP verstehen und Best Practices befolgen, können Sie den Sicherheitsstatus Ihrer Webanwendungen erheblich verbessern. Beginnen Sie mit einer Basisrichtlinie, testen Sie sie gründlich und wiederholen Sie sie, um die perfekte Balance zwischen Funktionalität und Sicherheit zu erreichen.