Die Sicherheit der eigenen Website wird zunehmend herausfordernder. Mithilfe von Cross-Site-Scripting (XSS) platzieren Angreifer über Schwachstellen Schadcode auf dem eigenen Server.
Dabei handelt es sich um den Versuch, durch manipulierte Links und darin enthaltene Befehle Scripte auf den Server einzuschleusen und zumindest einen Teil der Kontrolle über die Website oder das Gerät zu erlangen.
Mit der CSP (Content Security Policy) ist es technisch möglich, die Website über den Browser vor dem Eindringen von Schadcode durch Cross-Site-Scripting (XSS) zu schützen.
Durch die Hinterlegung bestimmter Regeln einer CSP wird festgelegt, welche Quellen vertrauenswürdig sind und von welchen der Browser Daten holen und ggf. übertragen darf. Dies ist z. B. wichtig für Dienste wie Google Analytics und den Google Tag Manager oder anderen externen Angeboten.
CSP in TYPO3
Mit der Version 12 wurde in TYPO3 das Content-Security-Policy-Modul eingeführt.
Hiermit wird das Risiko von Cross-Site-Scripting Attacken minimiert.
Über eine Konfigurationsdatei wird dabei festgelegt, welche Domains und Skripte als vertrauenswürdig eingestuft und vom Browser ausgeführt werden dürfen.
Potenzielle CSP-Verstöße werden dem TYPO3-System gemeldet und intern in der Datenbanktabelle gespeichert.
Das Content-Security-Policy-Backend-Modul unterstützt Anwender, um kürzliche Verstöße und mögliche Lösungen auszuwählen. Somit besteht die Möglichkeit, die Content-Security-Policy während der Laufzeit zu erweitern.
Zusätzlich können bei Erweiterungen des eigenen Angebots auch vertrauenswürdige Domains hinzugefügt werden.
Standardmäßig werden die einzelnen CSP-Module nur bei Neuinstallationen eines TYPO3-Systems aktiviert. Sofern ein bestehendes TYPO3 System durch ein Upgrade aktualisiert wird, müssen die Module initial aktiviert werden.
Die eigene Website prüfen
Ob Ihre Website gut abgesichert ist, kann auf der Seite https://securityheaders.com/ für die eigen Domain geprüft werden.
Gerne beraten wir Sie bei der Website-Analyse und Optmierung Ihrer Sicherheitsmaßnahmen.
Markus Söth
Vom Kaufmann über die Landschaftsarchitektur gestalte ich nun den großen Garten des Internets. Für die VisionConnect GmbH arbeite ich im Webdevelopment Bereich an den Möglichkeiten und Visionen des digitalen Zeitalters. Für Marketing und Innovation bin ich immer zu haben und stehe mit meinen Erfahrungen unseren Kunden bei ihren Projekten zur Seite.