Bodyguard für Webseiten

Content Security Policy schützt Webseiten vor eingeschleustem Code

Wissen | Know-how

Cross-Site-Scripting (XSS) ist eine der größten Plagen, mit denen Webmaster zu kämpfen haben. Selbst Banken und Bezahldienstleistern wie PayPal gelingt es nicht, das gefährliche Einschleusen von Fremdcode zu verhindern. Der neue Standard „Content Security Policy“ soll endlich Abhilfe schaffen.

Moderne Webanwendungen akzeptieren allerhand Benutzereingaben. Ein prominentes Beispiel ist eine Suchfunktion, mit der man etwa das Warensortiment eines Onlineshops durchsuchen kann. Häufig wird die Eingabe auf der Ergebnisseite vom Server zurückgegeben – „Ihre Suche nach Suchbegriff ergab 7 Treffer“. Hat der Webentwickler nicht aufgepasst, können Cyber-Ganoven auf diese Weise eigenen Code in die Seite einschleusen. Dann führen etwa Suchbegriffe wie <script>alert("Pwned!")</script> dazu, dass der Browser die Eingabe als Skript interpretiert und im Kontext der Seite ausführt. Deshalb müssen die unvorhersehbaren Benutzereingaben maskiert werden.

Leider ist es bei komplexen Webanwendungen eher die Regel als die Ausnahme, dass die Maskierung an irgendeiner Stelle vergessen wurde oder lückenhaft ist. Das XSS-Cheat-Sheet (siehe c’t-Link) zeigt eindrucksvoll, auf wie viele Tricks böse Buben zurückgreifen können, um eigene Inhalte in fremde Sites zu schmuggeln. XSS ist ein ernstzunehmendes Sicherheitsrisiko: Angreifer können so etwa Cookies abgreifen, Schadcode verbreiten oder auch Phishing-Formulare in die verwundbare Webseite einbauen. Der Fantasie der Cyber-Kriminellen sind kaum Grenzen gesetzt. ...

Sie möchten wissen, wie es weitergeht?

Als c't-Plus-Abonnent gratis lesen

Anmelden als c't-Plus-Abonnent

weiterführende Links

Anzeige
Anzeige