Skip to main content
CheckTown
Validatoren

CSP-Validierung: Content-Security-Policy-Header auf Fehler prüfen

Veröffentlicht 5 Min. Lesezeit
In diesem Artikel

Was ist CSP-Validierung?

Die Validierung der Content Security Policy (CSP) prüft, ob dein CSP-Header oder Meta-Tag korrekt festlegt, welche Ressourcen der Browser laden darf. Eine falsch konfigurierte CSP kann entweder legitime Ressourcen blockieren und so deine Website beschädigen oder zu freizügig sein und Sicherheitslücken offenlassen.

CSP ist einer der wirkungsvollsten Browser-Sicherheitsmechanismen gegen Cross-Site-Scripting (XSS) und Dateninjektionsangriffe. Ihre Direktivensyntax ist jedoch komplex, und ein einziges falsch platziertes Schlüsselwort kann grundlegend verändern, was die Richtlinie zulässt.

So funktioniert der CSP-Validator

Der CSP-Validator von CheckTown analysiert deine Richtlinien-Zeichenkette und prüft auf Syntaxfehler, Sicherheitsrisiken und häufige Fehlkonfigurationen.

  • Direktiven-Parsing – validiert jeden Direktivennamen und seine Quellwerte anhand der CSP-Spezifikation
  • Sicherheitsanalyse – kennzeichnet zu freizügige Quellen wie unsafe-inline, unsafe-eval und Platzhalter-Domains
  • Veraltungswarnungen – erkennt veraltete Direktiven und schlägt ihre modernen Alternativen vor

Kostenlos testen – keine Registrierung erforderlich

Deine CSP validieren →

Wichtige CSP-Direktiven

CSP verwendet Direktiven, um zu steuern, welche Arten von Ressourcen von wo geladen werden können.

  • default-src – Rückfallrichtlinie für alle Ressourcentypen, die nicht von spezifischeren Direktiven abgedeckt werden
  • script-src – steuert, welche Skripte ausgeführt werden können, die wichtigste Direktive zur XSS-Prävention
  • style-src – legt zulässige Quellen für CSS-Stylesheets und Inline-Styles fest

Wann du CSP-Validierung einsetzen solltest

Die CSP-Validierung ist unverzichtbar, bevor du Änderungen an deinen Sicherheits-Headern bereitstellst.

  • Richtlinienentwicklung – validiere CSP-Regeln beim Schreiben, um Syntaxfehler vor dem Deployment abzufangen
  • Sicherheitsaudits – prüfe bestehende CSP-Header auf zu freizügige Konfigurationen
  • CI-Pipelines – automatisiere die CSP-Validierung als Teil deines Deployment-Prozesses

Häufig gestellte Fragen

Was bedeutet unsafe-inline und wann wird es benötigt?

unsafe-inline erlaubt die Ausführung von Inline-Skripten und -Styles. Es schwächt den XSS-Schutz erheblich, wird aber manchmal für Altcode benötigt. Bevorzuge als Alternativen nonce-basierte oder hash-basierte Allowlists.

Kann CSP meine Website beschädigen?

Ja. Eine zu strenge CSP blockiert legitime Ressourcen, auf die deine Website angewiesen ist. Teste neue Richtlinien immer zuerst im Report-Only-Modus mit Content-Security-Policy-Report-Only, bevor du sie durchsetzt.

Sollte ich CSP-Meta-Tags oder HTTP-Header verwenden?

HTTP-Header sind zu bevorzugen, da sie alle Direktiven unterstützen und nicht durch injizierten Code verändert werden können. Meta-Tags unterstützen die Direktiven frame-ancestors und report-uri nicht.

Verwandte Tools