Seite 6: Pro und Contra

Inhaltsverzeichnis

Pro und Contra

Durch eine Content Security Policy können Webseitenbetreiber ihre Besucher mit überschaubarem Aufwand vor Cross-Site-Scripting und weiteren Angriffsformen schützen. Und das lohnt sich schon jetzt, weil man mit den oben beschriebenen Maßnahmen die meisten Nutzer erreicht.

Durch die umfangreichen Reporting-Funktionen kommt man Fehlern während und nach der Umstellung leicht auf die Schliche. Problematisch kann CSP allerdings für Nutzer in Mobilfunknetzen werden: Unter Umständen sorgen die Kompressionsproxies der Handynetzbetreiber dafür, dass ausgelagerte Skripte und Stylesheets wieder fest mit dem Quellcode der Seite verwoben werden. Wenn der Proxy den CSP-Header durchschleift, werden die ursprünglich ausgelagerten Elemente dann blockiert.

Trotz CSP darf man nicht vergessen, dass eine Policy allein den Webseitenbesucher schützt – und nicht die Webseite oder den Server. Als Betreiber muss man weiterhin alles dafür tun, um den Server abzusichern. Das bedeutet, vor allem sämtliche Komponenten auf dem aktuellen Stand zu halten und Nutzereingaben sorgfältig zu filtern – insbesondere dann, wenn sie in SQL-Statements münden.

Derzeit diskutiert die Web Application Security Working Group mögliche Erweiterungen für Version 1.1 der CSP-Spezifikation. Unter anderem wird überlegt, ob Script- und Style-Elemente mit einem Zufallswert versehen werden, um sie doch wieder direkt in den HTML-Code einbetten zu können. Außerdem steht ein Meta-Tag als Ersatz für den HTTP-Header zur Diskussion. Es soll zusätzlich weitere Direktiven geben, um das Ziel von form-actions und die MIME-Typen von Plug-ins einzuschränken. (rei)