Het primaire doel van een CSP, ook wel Content Security Policy genoemd, is om XSS-aanvallen te verminderen en te melden. XSS-aanvallen gebruiken het vertrouwen van de browser van de ontvangen inhoud van de server. Schadelijke scripts worden uitgevoerd door de browser van het slachtoffer omdat de browser de bron van de inhoud vertrouwt.
Een CSP maakt het mogelijk dat de vectoren worden verminderd of geëlimineerd, waarmee XSS kan optreden door de domeinen te specificeren die de browser als geldige bronnen van uitvoerbare scripts moeten beschouwen.
Wat is een Content Security Policy?
Het inregelen van een Content Security Policy (CSP) zorgt voor een extra beveiligingslaag aan uw website of webshop die helpt bij het opsporen en (preventief) bestrijden van website aanvallen. Het is een nieuwe security techniek tegen Cross Site Scripting (XSS) en data-injectie aanvallen.
Content Security Policy professioneel geregeld
Wij ontzorgen u in het inregelen en beheer van uw Content Security Policy, zodat u alles professioneel in orde heeft voor de CSP security voor uw website of webshop. Download nu onze whitepaper of neem contact op voor een geheel vrijblijvende offerte, zodat wij kunnen bekijken wat u huidige situatie is en wat de kosten zijn.
Content Security Policy configuratie
Een CSP-compatibele browser zal alleen scripts uitvoeren die zijn geladen in bronbestanden die zijn ontvangen vanuit een witte lijst met domeinen, waarbij alle andere scripts (inclusief inline-scripts en HTML-attributen voor gebeurtenishantering) worden genegeerd.
Als een ultieme vorm van bescherming, kunnen sites die scripts nooit toelaten om te worden uitgevoerd, en ervoor kiezen om de uitvoering van het script wereldwijd onmogelijk te maken.
Beveiligingstrategie met HTTPS
Naast het beperken van de domeinen waaruit inhoud kan worden geladen, kan de server specificeren welke protocollen mogen worden gebruikt. Vanuit veiligheid standpunt kan een server opgeven dat alle inhoud moet worden geladen via HTTPS. Een complete beveiligingsstrategie voor gegevensoverdracht omvat niet alleen het handhaven van HTTPS voor data-overdracht, maar ook het markeren van alle cookies met de ‘secure flag’ en het automatische doorsturen van HTTP-pagina's naar hun HTTPS-versie.
Websites kunnen ook de HTTP-koptekst van Strict-Transport-Security gebruiken om ervoor te zorgen dat browsers alleen met hen over een gecodeerd kanaal verbinden.
CPS beveiligingsbeleid
Het configureren van een beveiligingsbeleid voor de inhoud van uw website houdt in dat u de Content Security Policy toevoegt met een HTTP-header inhoudsbeveiliging beleid in uw website, webshop of webpagina en waarden definieert om resources te controleren die de ‘user-agent’ voor die pagina kan laden.
Bijvoorbeeld: een pagina die beelden uploadt en weergeeft, kan beelden overal vandaan halen, maar beperkt een actie tot een specifiek eindpunt. Een goed ontworpen Content Security Policy helpt uw pagina te beschermen tegen een cross-site scripting aanval.