dinsdag 9 april 2019

Wat is CSP (Content Security Policy)?

Met meer dan 1 miljard geregistreerde websites hebben we veel data en content tot onze beschikking. Dat zijn bijna 1 miljard kansen om data te stelen en hacks te verspreiden. Geen zorgen of moeten we ons wel zorgen gaan maken? Gelukkig zijn er beveiligingen ontwikkeld om gegevens en websites veilig te houden, zodat de gebruiker hier geen omkijken naar heeft.

Wat is Content Security Policy (CSP)?
Een website staat nooit volledig op zichzelf. Afbeeldingen, video’s, lettertypes en dergelijke kunnen van een andere website en/of domein afkomstig zijn. Zo wordt bijvoorbeeld een video vaak vanuit YouTube of Vimeo ingeladen. De Content Security Policy is een beveiligingsfunctie die een website kan activeren in de browser. Concreet geeft deze security policy een lijst door van vertrouwde domeinnamen. Hierdoor zal de browser alleen content inladen van domeinen/websites op deze lijst.

Waarom een Content Security Policy?
Het komt regelmatig voor dat website bezoekers virussen of onbetrouwbare extensies in hun browser hebben geïnstalleerd. Deze onbetrouwbare extensies variëren van ongewenste reclame tot keyloggers, die bijvoorbeeld je wachtwoord willen stelen. Door het activeren van je CSP worden deze activiteiten geblokkeerd.

Het doel van CSP is om cross-site scripting aanvallen te verminderen en te melden. CSP maakt het voor webdevelopers mogelijk om de onbetrouwbare extensies, waarmee cross-site-scipts geïmplementeerd kunnen worden, te verminderen of te verwijderen. Dit door de domeinen op te geven die de browser moet beschouwen als geldige bronnen van uitvoerbare scripts.

Hoe werkt het Content Security Policy?
Als developer kun je de beveiligingsfunctie inschakelen met een HTTP-header genaamd ‘Content-Security-Policy’. Tijdens het inladen van de pagina bepaalt de browser welke content wordt vertrouwd op basis van de instructie die in de header wordt aangegeven.

Voorbeeld:
Content-Security-Policy: frame-src https://www.voorbeeld.nl
Deze instructie zorgt ervoor dat er alleen maar een iframe van voorbeeld.nl kan worden inladen.

Ondersteuning nodig bij het beveiligen van uw website of -applicatie met een Content Security Policy? Neem gerust contact met ons.

Recente berichten