CSP
CSP (Content Security Policy)
Ein Browser-Sicherheitsstandard, der es Website-Eigentümern ermöglicht, anzugeben, welche Inhaltsquellen (Skripte, Styles, Bilder, Schriftarten, Verbindungen) der Browser für ihre Seite laden darf, und der XSS-Angriffe und Dateninjektionen verhindert.
Technisches Detail
CSP wird über den Content-Security-Policy-HTTP-Header oder ein -Tag übermittelt. Direktiven umfassen default-src (Fallback), script-src (JavaScript-Quellen), style-src (CSS-Quellen), img-src (Bildquellen), connect-src (XHR/Fetch/WebSocket-Ziele), font-src, frame-src und weitere. Quellwerte umfassen 'self' (gleicher Origin), 'none', 'unsafe-inline', 'unsafe-eval', nonce-basiert ('nonce-abc123') und hash-basiert ('sha256-...'). Strict CSP vermeidet 'unsafe-inline' durch Nonces oder Hashes. CSP meldet Verstöße über die report-uri oder report-to Direktive. Für clientseitige Tools, die Inline-Skripte verwenden, verwenden Nonce-basierte Richtlinien: script-src 'nonce-{random}' 'strict-dynamic'.
Beispiel
```javascript
// CSP: web API example
const response = await fetch('/api/resource');
const data = await response.json();
console.log(data);
```