In diesem Artikel
Was ist CSP-Validierung?
Die Validierung der Content Security Policy (CSP) prüft, ob dein CSP-Header oder Meta-Tag korrekt festlegt, welche Ressourcen der Browser laden darf. Eine falsch konfigurierte CSP kann entweder legitime Ressourcen blockieren und so deine Website beschädigen oder zu freizügig sein und Sicherheitslücken offenlassen.
CSP ist einer der wirkungsvollsten Browser-Sicherheitsmechanismen gegen Cross-Site-Scripting (XSS) und Dateninjektionsangriffe. Ihre Direktivensyntax ist jedoch komplex, und ein einziges falsch platziertes Schlüsselwort kann grundlegend verändern, was die Richtlinie zulässt.
So funktioniert der CSP-Validator
Der CSP-Validator von CheckTown analysiert deine Richtlinien-Zeichenkette und prüft auf Syntaxfehler, Sicherheitsrisiken und häufige Fehlkonfigurationen.
- Direktiven-Parsing – validiert jeden Direktivennamen und seine Quellwerte anhand der CSP-Spezifikation
- Sicherheitsanalyse – kennzeichnet zu freizügige Quellen wie unsafe-inline, unsafe-eval und Platzhalter-Domains
- Veraltungswarnungen – erkennt veraltete Direktiven und schlägt ihre modernen Alternativen vor
Kostenlos testen – keine Registrierung erforderlich
Deine CSP validieren →Wichtige CSP-Direktiven
CSP verwendet Direktiven, um zu steuern, welche Arten von Ressourcen von wo geladen werden können.
- default-src – Rückfallrichtlinie für alle Ressourcentypen, die nicht von spezifischeren Direktiven abgedeckt werden
- script-src – steuert, welche Skripte ausgeführt werden können, die wichtigste Direktive zur XSS-Prävention
- style-src – legt zulässige Quellen für CSS-Stylesheets und Inline-Styles fest
Wann du CSP-Validierung einsetzen solltest
Die CSP-Validierung ist unverzichtbar, bevor du Änderungen an deinen Sicherheits-Headern bereitstellst.
- Richtlinienentwicklung – validiere CSP-Regeln beim Schreiben, um Syntaxfehler vor dem Deployment abzufangen
- Sicherheitsaudits – prüfe bestehende CSP-Header auf zu freizügige Konfigurationen
- CI-Pipelines – automatisiere die CSP-Validierung als Teil deines Deployment-Prozesses
Häufig gestellte Fragen
Was bedeutet unsafe-inline und wann wird es benötigt?
unsafe-inline erlaubt die Ausführung von Inline-Skripten und -Styles. Es schwächt den XSS-Schutz erheblich, wird aber manchmal für Altcode benötigt. Bevorzuge als Alternativen nonce-basierte oder hash-basierte Allowlists.
Kann CSP meine Website beschädigen?
Ja. Eine zu strenge CSP blockiert legitime Ressourcen, auf die deine Website angewiesen ist. Teste neue Richtlinien immer zuerst im Report-Only-Modus mit Content-Security-Policy-Report-Only, bevor du sie durchsetzt.
Sollte ich CSP-Meta-Tags oder HTTP-Header verwenden?
HTTP-Header sind zu bevorzugen, da sie alle Direktiven unterstützen und nicht durch injizierten Code verändert werden können. Meta-Tags unterstützen die Direktiven frame-ancestors und report-uri nicht.