Content‑Security‑Policy: Best Practices
Eine strenge CSP begrenzt Quellen für Code und Inhalte und blockiert Injections.
Grundsätze
- Nonces/Hashes statt 'unsafe-inline' verwenden.
- Keine Wildcards; Quellen präzise einschränken (Schemes, Hosts, Pfade).
- Drittinhalte trennen (Subdomains/Sandbox) und eval verbieten.
- frame-ancestors statt X-Frame-Options.
- Verstöße protokollieren (report-to / report-uri) und iterieren.
Einfache Einführung
- Zunächst als Report‑Only ausrollen; Verstöße beheben; dann erzwingen.
- Fremd‑Ressourcen inventarisieren und mit Nonces/Hashes zulassen.
- Erwartete Verbindungen mit connect-src festlegen.