25 Jahre heise online Jubiläums-Logo
Anmelden
Menü Menue
IT News
  • Newsticker
  • heise Developer
  • heise Netze
  • heise Open Source
  • heise Security
Online-Magazine
  • heise+
  • Telepolis
  • heise Autos
  • TechStage
  • tipps+tricks
Magazine
  • c't
  • iX
  • Technology Review
  • c't Fotografie
  • Mac & i
  • Make
  • im Browser lesen und Artikel-Archiv
Services
  • Stellenmarkt heise Jobs
  • Weiterbildung
  • heise Download
  • Preisvergleich
  • Whitepaper/Webcasts
  • DSL-Vergleich
  • Netzwerk-Tools
  • Spielen bei Heise
  • Loseblattwerke
  • iMonitor
  • IT-Markt
Heise Medien
  • heise shop
  • Abo
  • Veranstaltungen
  • Arbeiten bei Heise
  • Mediadaten
  • Presse
Anzeige SecurityHub Online-Marketing
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten
heise Security Logo
  • News
    • Archiv
    • 7-Tage-News
  • Hintergrund
  • heise Security Pro
    • FAQs zu heise Security Pro
  • Events
  • Kontakt
  1. Security
  2. Hintergrund
  3. XSS-Bremse Content Security Policy

XSS-Bremse Content Security Policy

Hintergrund 14.06.2013 16:51 Uhr Hendrik Brummermann
Inhaltsverzeichnis
  1. XSS-Bremse Content Security Policy
  2. Aller Anfang ist leicht
  3. Ausnahmsweise
  4. Umbaumaßnahmen
  5. Rauchmelder
  6. Pro und Contra
  7. Auf einer Seite lesen

Cross-Site-Scripting (XSS) ist eine der größten Plagen, mit denen Webmaster zu kämpfen haben. Der neue Standard "Content Security Policy" soll endlich Abhilfe schaffen.

Moderne Webanwendungen akzeptieren allerhand Benutzereingaben. Ein prominentes Beispiel ist eine Suchfunktion, mit der man etwa das Warensortiment eines Onlineshops durchsuchen kann. Häufig wird die Eingabe auf der Ergebnisseite vom Server zurückgegeben – "Ihre Suche nach Suchbegriff ergab 7 Treffer". Hat der Webentwickler nicht aufgepasst, können Cyber-Ganoven auf diese Weise eigenen Code in die Seite einschleusen. Dann führen etwa Suchbegriffe wie <script>alert("Pwned!")</script> dazu, dass der Browser die Eingabe als Skript interpretiert und im Kontext der Seite ausführt. Deshalb müssen die unvorhersehbaren Benutzereingaben maskiert werden.

Leider ist es bei komplexen Webanwendungen eher die Regel als die Ausnahme, dass die Maskierung an irgendeiner Stelle vergessen wurde oder lückenhaft ist. Das XSS-Cheat-Sheet zeigt eindrucksvoll, auf wie viele Tricks böse Buben zurückgreifen können, um eigene Inhalte in fremde Sites zu schmuggeln. XSS ist ein ernstzunehmendes Sicherheitsrisiko: Angreifer können so etwa Cookies abgreifen, Schadcode verbreiten oder auch Phishing-Formulare in die verwundbare Webseite einbauen. Der Fantasie der Cyber-Kriminellen sind kaum Grenzen gesetzt.

Getrennte Wege

Mit Hilfe einer Content Security Policy legt der Webmaster fest, welche Ressourcen der Browser beim Abruf der Seite laden darf.

Die Content Security Policy (kurz CSP) verhindert XSS, indem sie den Einsatz von Skripten im Quellcode der Seite, den sogenannten Inline-Skripten, verbietet. Sie werden stattdessen in eigene Dateien ausgelagert, wo man sie wesentlich besser im Griff hat. Anschließend legt man über eine Whitelist fest, von welchen Quellen der Browser beim Aufruf der Seite Skripte nachladen und ausführen darf – und ob überhaupt. Doch damit sind die Möglichkeiten der CSP noch längst nicht ausgeschöpft: Es gibt Whitelists für Frames, Bilder, Medien, Plug-ins, CSS-Dateien und Schriftarten. Außerdem kann man festlegen, mit welchen Servern der Browser über XMLHttpRequest, WebSocket und Server-Sent Events (EventSource) sprechen darf.

Vorherige 1 2 3 4 5 6 Nächste

Mehr zum Thema

  • XSS

Forum bei heise online: Serversicherheit

Teile diesen Beitrag

https://heise.de/-1888522 Drucken
Dienste
  • Security Consulter
  • Netzwerkcheck
  • Anti-Virus
  • Emailcheck
  • Krypto-Kampagne
Alerts! alle Alert-Meldungen

Qnap NAS

Chrome

Tor Browser

Tails

Eigenwerbung
heise Security Tour

Praxiswissen für die Security-Achterbahn 2021

Die heise Security Tour (10. Juni oder 9. September) liefert praxisrelevantes Wissen, wie Sie die aktuelle IT-Security-Situation auch weiterhin meistern. Profitieren Sie bis zum 29. April von unserem Frühbucher-Rabatt und sparen Sie 40 €!

Anzeige
Anzeige
  • Themenspecial: Moderne IT-Infrastruktur
  • Tipps für eine erfolgreiche Google-Werbung
  • Geheime Tricks: Kostenoptimierung in der AWS-Cloud
  • Vom Datensumpf zum Datentrumpf
  • So können Sie heterogene Netze effizient managen
  • Wie und womit arbeiten Data-Science-Experten?
  • Transformation im Supermarkt – aus der Praxis!
  • Success Story (+Demo): Patch-Management in Praxis
  • Sichere Videokonferenzen im Unternehmen
  • Neue Security-Idee: Hardware-basierte IT-Sicherheit
Artikel

Windows: REvil-Trojaner trickst abgesicherten Modus aus

Eigentlich soll der abgesicherte Modus dabei helfen, ein angeschlagenes System zu retten. Der Erpressungstrojaner macht ihm damit den Garaus.

56 Kommentare

iOS: Certificate Pinning per Konfiguration

App-Entwickler können die für TLS-Verbindungen erlaubten Schlüssel seit iOS 14 per Konfiguration einschränken.

8 Kommentare

Auf Tätersuche: Herausforderungen bei der Analyse von Cyber-Angriffen

Das Bedürfnis bei Cyber-Angriffen Täter zu benennen wächst. Doch die verantwortlichen Gruppen spezialisieren sich immer mehr und kooperieren bei Bedarf.

18 Kommentare mit Video

Neueste Forenbeiträge

  1. Die fundamentale Frage der Sicherheit im Internet: Wem traue ich?
    Das ist bei DNS nicht anders als bei S/MIME vs. PGP oder PKIs. Es gibt den Ansatz, Sicherheit durch zentralisierte Services (bspw: CAs oder…

    Forum:  Was man über DNS als Sicherheits-Werkzeug wissen muss

    arkturino hat keinen Avatar
    von arkturino; vor 18 Stunden
  2. Wie wär's mit Ghidra?
    https://blog.threatrack.de/2019/10/02/ghidra-patch-diff/ MfG

    Forum:  Binärdateien vergleichen: BinDiff ab sofort (fast) gratis nutzen

    Avatar von PietNomdrian
    von PietNomdrian; Mittwoch, 19:25
  3. Re: S-Runen im Text - mit Firefox 88 gerendert
    Jetzt erklären sie in ihrem Artikel doch bitte noch wie die ganzen Neonazis in ihrem gestern ausgelieferten neuen Firefox 88.0 Browser (Heil…

    Forum:  Was man über DNS als Sicherheits-Werkzeug wissen muss

    Polaris hat keinen Avatar
    von Polaris; Dienstag, 10:53
News und Artikel
  • News
  • 7-Tage-News
  • News-Archiv
  • Hintergrund-Artikel
  • Alert-Meldungen
Service
  • Newsletter
  • Tools
  • Foren
  • RSS
  • mobil
Dienste
  • Security Consulter
  • Netzwerkcheck
  • Anti-Virus
  • Emailcheck
  • Krypto-Kampagne
  • Datenschutz
  • Impressum
  • Kontakt
  • Mediadaten
  • Content Management by InterRed
  • Copyright © 2021 Heise Medien