Cross-Site Scripting (XSS) und Code-Injections abwehren 10.05.2017, 11:19 Uhr

Content Security Policy

Cross-Site Scripting (XSS) und Code-Injections stehen nach wie vor weit oben auf der ­Liste der häufigsten Angriffstechniken gegen Webanwendungen.
Durch den Einsatz von Content Security Policies soll sich dies ändern. Den Sicherheitsgrundsatz »Vertraue niemals den Eingaben eines Benutzers« sollte heutzutage jeder Webentwickler kennen. Er besagt, dass jegliche Eingaben, die von einem System empfangen, verarbeitet, gespeichert und gegebenenfalls ausgegeben werden, auf ihre Legitimität zu überprüfen sind. Wird eine solche Prüfung nicht oder nicht richtig implementiert, kann ein Angreifer zum Beispiel durch SQL- oder Code-Injections den Server oder die Applikation angreifen und unter gewissen Umständen kompromittieren.
Der Server-Seite gegenüber stehen die Clients, die Daten von den Servern empfangen. Auch Browser sollten eigentlich nicht alles entgegennehmen und einfach ausführen, was ihnen Server senden. Hierbei muss nicht unbedingt der Betreiber der Internetseite böswillig versuchen, seinen Besuchern gefährlichen Code unterzuschieben.

web & mobile DEVELOPER

Sie wollen zukünftig auch von den Vorteilen eines plus-Abos profitieren? Werden Sie jetzt web&mobile Developer plus Kunde.
  • 2 Monate Gratis testen
  • Über 4.000 qualifizierte Fachartikel
  • Diverse DevBooks thematisch für Sie zusammen gestellt
  • Webcasts von 30 - 90 Min.
  • Aufzeichnungen von ausgewählten Fortbildungen und Konferenzen
  • Auf jedem Gerät verfügbar