ドキュメント価格ブログ
お問い合わせ
ログイン無料で新規登録
Back to Tech Articles

Abwehr von XSS durch serverseitige CSP-Richtliniendurchsetzung

9月 03, 2025
# Misc

Lukas Schneider

DevOps Engineer · Leapcell

この記事はEnglish日本語한국어でも利用できます
Cover of "Abwehr von XSS durch serverseitige CSP-Richtliniendurchsetzung"

Einleitung

In der sich ständig weiterentwickelnden Landschaft der Websicherheit bleibt Cross-Site Scripting (XSS) eine der häufigsten und gefährlichsten Schwachstellen. Angreifer nutzen XSS-Fehler aus, um bösartige Skripte in vertrauenswürdige Websites einzuschleusen, die dann von ahnungslosen Benutzern ausgeführt werden. Dies kann zu Session-Hijacking, Datendiebstahl, Verunstaltung der Website oder sogar zur Zerstörung der gesamten Website führen. Während clientseitige Bereinigung und robuste Eingabevalidierung entscheidend sind, können sie komplexe XSS-Szenarien oft nicht vollständig abmildern. Hier kommt die Content Security Policy (CSP) als leistungsstarke, deklarative Sicherheitsebene ins Spiel. Indem CSP Browser anweist, welche Ressourcen geladen werden dürfen, fungiert sie als robuster Abwehrmechanismus, der uns proaktiv die Ausführung nicht autorisierter Skripte blockiert. Dieser Artikel untersucht, wie Backend-Frameworks CSP-Header effektiv setzen können, um die Sicherheit von Webanwendungen gegen XSS-Angriffe erheblich zu erhöhen.

Kernkonzepte verstehen

Bevor wir uns mit der Implementierung befassen, wollen wir einige Schlüsselbegriffe klären, die für das Verständnis von CSP wesentlich sind:

  • Cross-Site Scripting (XSS): Eine Art von Sicherheitslücke, die es Angreifern ermöglicht, clientseitige Skripte in Webseiten einzuschleusen, die von anderen Benutzern aufgerufen werden.
  • Content Security Policy (CSP): Ein W3C-Standard, der es Webanwendungsentwicklern ermöglicht, zu steuern, welche Ressourcen (Skripte, Stylesheets, Bilder usw.) ein Benutzeragent für eine gegebene Seite laden darf. Es ist eine zusätzliche Sicherheitsebene, die hilft, bestimmte Arten von Angriffen, einschließlich XSS, abzumildern.
  • HTTP-Header: Ein Teil der HTTP-Anfrage oder -Antwort, der Metadaten über die Nachricht enthält. CSP wird typischerweise über den HTTP-Antwort-Header Content-Security-Policy geliefert.
  • Direktiven (Anweisungen): Regeln innerhalb einer CSP, die erlaubte Quellen für verschiedene Ressourcentypen angeben. Beispiele hierfür sind script-src (für Skripte), style-src (für Stylesheets), img-src (für Bilder) und default-src (ein Fallback für jeden Ressourcentyp, der nicht explizit aufgeführt ist).
  • Source List (Quellliste): Eine Liste erlaubter Ursprünge oder Schlüsselwörter für eine bestimmte Direktive. Beispiele hierfür sind 'self' (aktueller Ursprung), 'unsafe-inline' (erlaubt Inline-Skripte/Styles, im Allgemeinen nicht empfohlen), 'unsafe-eval' (erlaubt eval() und ähnliche Funktionen, ebenfalls im Allgemeinen nicht empfohlen) und spezifische Domains wie https://example.com.
  • Nonce: Eine „einmal verwendete Zahl“. In CSP kann eine kryptografische Nonce verwendet werden, um einen bestimmten Inline-Skript- oder Style-Block gezielt zu erlauben und ihn mit der HTTP-Antwort zu verknüpfen, was es für Angreifer schwieriger macht, nicht autorisierten Code einzuschleusen.
  • Hash: Ähnlich wie eine Nonce, aber basierend auf dem kryptografischen Hash des Inline-Skripts- oder Style-Inhalts. Dadurch kann der Browser die Integrität des Inhalts überprüfen.

Implementierung von CSP-Headern vom Backend

Die Stärke von CSP liegt in seiner serverseitigen Durchsetzung. Das Backend ist dafür verantwortlich, den HTTP-Header Content-Security-Policy bei jeder relevanten Antwort zu generieren und zu senden. Dies stellt sicher, dass die Richtlinie angewendet wird, bevor jeglicher HTML- oder Skript-Inhalt vom Browser verarbeitet wird.

Lassen Sie uns dies anhand von Beispielen mit beliebten Backend-Frameworks veranschaulichen.

Python (Flask)

In Flask können Sie Antwort-Header direkt setzen. Ein üblicher Ansatz ist die Verwendung eines Decorators oder eines Middleware-Elements.

from flask import Flask, make_response, render_template

app = Flask(__name__)

@app.route('/')
def index():
    response = make_response(render_template('index.html'))
    # Ein einfaches CSP-Beispiel: Erlaubt Skripte und Styles nur vom selben Ursprung
    # und verhindert Inline-Skripte/Styles, es sei denn, sie sind durch eine Nonce explizit erlaubt.
    # Hinweis: 'unsafe-inline' wird häufig vorübergehend während der Entwicklung verwendet, sollte aber entfernt werden.
    nonce = generate_nonce() # In einer echten Anwendung sollte dies kryptografisch stark sein
    csp_policy = (
        f"default-src 'self';"
        f"script-src 'self' 'nonce-{nonce}';"
        f"style-src 'self' 'nonce-{nonce}';"
        f"img-src 'self' data:;" # Erlaubt Bilder vom selben Ursprung und von Daten-URIs
        "font-src 'self';"
        "connect-src 'self';"
        "frame-ancestors 'none';" # Verhindert das Einrahmen Ihrer Website
        "form-action 'self';" # Beschränkt, wohin Formulare gesendet werden können
    )
    response.headers['Content-Security-Policy'] = csp_policy
    return response

@app.route('/login')
def login():
    response = make_response(render_template('login.html'))
    # Unterschiedliche Seiten können unterschiedliche CSPs erfordern
    nonce = generate_nonce()
    csp_policy = (
        f"default-src 'self';"
        f"script-src 'self' 'nonce-{nonce}' https://cdnjs.cloudflare.com;"
        f"style-src 'self' 'nonce-{nonce}';"
        f"img-src 'self';"
        "report-uri /csp-report-endpoint;" # Beispiel für die Meldung von Verstößen
    )
    response.headers['Content-Security-Policy'] = csp_policy
    return response

def generate_nonce():
    import os
    import base64
    return base64.b64encode(os.urandom(16)).decode('utf-8')

if __name__ == '__main__':
    app.run(debug=True)

Und in Ihrer index.html (oder jeder Vorlage, die Nonces verwendet):

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <meta name="viewport" content="width=device-width, initial-scale=1.0">
    <title>CSP Geschützte Seite</title>
    <style nonce="{{ nonce }}">
        body { font-family: sans-serif; }
    </style>
</head>
<body>
    <h1>Willkommen!</h1>
    <script nonce="{{ nonce }}">
        // Dieses Skript wird ausgeführt, da es die richtige Nonce hat
        console.log("Inline-Skript sicher mit Nonce ausgeführt.");
    </script>
    <script src="/static/app.js"></script> <!-- Erlaubt durch 'self' -->
    <script>
        // Dieses Inline-Skript wird blockiert, wenn keine 'unsafe-inline' oder passende Nonce vorhanden ist
        console.log("Dieses nicht vertrauenswürdige Inline-Skript sollte von CSP blockiert werden.");
    </script>
</body>
</html>

Node.js (Express)

Express-Anwendungen können Middleware verwenden, um CSP-Header für alle oder bestimmte Routen zu setzen. Das Paket helmet wird für Sicherheitsheader, einschließlich CSP, dringend empfohlen.

const express = require('express');
const helmet = require('helmet');
const app = express();
const port = 3000;

// Funktion zur Generierung einer kryptografisch starken Nonce
function generateNonce() {
    return require('crypto').randomBytes(16).toString('base64');
}

app.use((req, res, next) => {
    // Generiert für jede Anfrage eine neue Nonce
    res.locals.nonce = generateNonce();
    next();
});

app.use(helmet({
    contentSecurityPolicy: {
        directives: {
            defaultSrc: ["'self'"],
            scriptSrc: ["'self'", (req, res) => `'nonce-${res.locals.nonce}'`], // Nonce dynamisch verwenden
            styleSrc: ["'self'", (req, res) => `'nonce-${res.locals.nonce}'`],
            imgSrc: ["'self'", "data:"],
            fontSrc: ["'self'"],
            connectSrc: ["'self'"],
            frameAncestors: ["'none'"],
            formAction: ["'self'"],
            objectSrc: ["'none'"], // Deaktiviert Plugins wie Flash
            // reportUri: "/csp-report-endpoint", // Optional: zur Meldung von Verstößen
        },
    },
}));

app.get('/', (req, res) => {
    // Rendern Sie Ihre HTML-Vorlage und übergeben Sie die Nonce an sie
    res.send(`
        <!DOCTYPE html>
        <html lang="en">
        <head>
            <meta charset="UTF-8">
            <meta name="viewport" content="width=device-width, initial-scale=1.0">
            <title>Node.js Seite mit CSP-Schutz</title>
            <style nonce="${res.locals.nonce}">
                body { background-color: #f0f0f0; }
            </style>
        </head>
        <body>
            <h1>Hallo von Node.js mit CSP!</h1>
            <script nonce="${res.locals.nonce}">
                console.log("Inline-Skript sicher mit Nonce in Node.js ausgeführt.");
            </script>
            <script src="/static/app.js"></script>
        </body>
        </html>
    `);
});

app.listen(port, () => {
    console.log(`Server läuft unter http://localhost:${port}`);
});

Wichtige Überlegungen zur CSP-Implementierung

  • Beginnen Sie im Report-Only-Modus: Beginnen Sie mit der Bereitstellung von CSP im „Report-Only“-Modus (Content-Security-Policy-Report-Only-Header). Dies meldet Verstöße an eine angegebene URL, ohne sie zu blockieren, sodass Sie Ihre Richtlinie feinabstimmen können.
  • Granularität: Seien Sie bei Ihren Direktiven so spezifisch wie möglich. Vermeiden Sie breite Quellen wie '*' oder 'unsafe-inline', es sei denn, es ist absolut notwendig (und mit äußerster Vorsicht).
  • Nonce vs. Hash: Für Inline-Skripte und Styles werden Nonces im Allgemeinen gegenüber Hashes bevorzugt, da sie weniger anfällig für Fehler sind, wenn sich der Inhalt des Skripts/Styles geringfügig ändert. Hashing garantiert jedoch die Integrität des Inhalts.
  • Externe Ressourcen: Wenn Sie CDNs oder Widgets von Drittanbietern verwenden, stellen Sie sicher, dass deren Domains in den entsprechenden Direktiven explizit aufgeführt sind.
  • default-src: Diese Direktive dient als Fallback. Wenn ein Ressourcentyp nicht explizit von einer anderen Direktive (z. B. script-src) abgedeckt wird, gelten die Regeln von default-src.
  • Benutzergenerierte Inhalte: Wenn Ihre Anwendung benutzergenerierte Inhalte verarbeitet, ist CSP noch wichtiger. Möglicherweise benötigen Sie strengere Richtlinien oder spezielle Bereinigungsroutinen.
  • Iterative Verfeinerung: Die CSP-Implementierung ist oft ein iterativer Prozess. Beginnen Sie mit einer strengen Richtlinie, beobachten Sie die Berichte und lockern Sie die Direktiven nur bei Bedarf.

Fazit

Die Implementierung von Content Security Policy vom Backend aus ist eine grundlegende und äußerst effektive Strategie zur Abwehr von XSS-Angriffen. Durch die präzise Angabe erlaubter Inhaltsquellen und die dynamische Generierung von Nonces ermöglichen Backend-Frameworks Anwendungen, eine robuste Abwehrfront aufzubauen. Obwohl CSP kein Allheilmittel ist, reduziert es in Kombination mit anderen Sicherheitspraktiken die Angriffsfläche erheblich und schützt die Webanwendung vor bösartigen Skriptinjektionen, was zu einer sichereren Benutzererfahrung führt. Letztendlich fungiert eine gut konfigurierte CSP als mächtiger Torwächter, der sicherstellt, dass nur vertrauenswürdiger Code im Browser Ihrer Benutzer ausgeführt wird.

Share this article

HackerNews

More Posts from Leapcell

Popular Posts