Experiment: Dieser Inhalt wurde automatisch aus dem Englischen übersetzt, und kann Fehler enthalten.

Content-Security-Policy: script-src Direktive

Baseline Widely available *

This feature is well established and works across many devices and browser versions. It’s been available across browsers since August 2016.

* Some parts of this feature may have varying levels of support.

Die HTTP Content-Security-Policy (CSP) script-src Direktive gibt gültige Quellen für JavaScript an. Dies umfasst nicht nur URLs, die direkt in

Beachten Sie, dass auch Inline-Event-Handler blockiert werden:

html

Sie sollten sie durch addEventListener-Aufrufe ersetzen:

document.getElementById("btn").addEventListener("click", doSomething);

Wenn Sie Inline-Event-Handler nicht ersetzen können, können Sie den 'unsafe-hashes' Quellausdruck verwenden, um sie zuzulassen. Weitere Informationen finden Sie unter Unsafe hashes.

Whitelisting von externen Skripten mit Hashes

Das Zulassen von vertrauenswürdigen Domains, wie im obigen Abschnitt gezeigt, ist ein pragmatischer Ansatz, insbesondere wenn Ihre Website viele Ressourcen verwendet und Sie darauf vertrauen, dass die vertrauenswürdige Seite nicht gefährdet wird.

Eine alternative Methode ist das Angeben zulässiger Skripte unter Verwendung von Datei-Hashes. Mit diesem Ansatz kann eine externe Datei in einem

Das integrity-Attribut kann mehrere Werte haben, die jeweils einen Hash für die Datei liefern, der mit einem anderen Algorithmus berechnet wird. Damit ein externes Skript geladen werden kann, verlangt CSP, dass alle gültigen Hash-Werte im Attribut auch in der CSP-script-src-Deklaration enthalten sein müssen. Daher würde das folgende Skript nicht geladen, da der zweite Hash im obigen CSP-Header nicht vorhanden ist.

html

Diese Regel gilt nur für gültige Hash-Werte. Werte, die vom Browser nicht als Hashes erkannt werden, werden ignoriert. Daher sollte das folgende Skript geladen werden:

html

Subresource Integrity enthält weitere Informationen über das Berechnen von Hashes und die Verwendung des integrity-Attributs.

Unsafe Inline-Skript

Hinweis: Das Unterbinden von Inline-Styles und Inline-Skripten ist einer der größten Sicherheitsvorteile, die CSP bietet. Wenn Sie sie unbedingt verwenden müssen, gibt es einige Mechanismen, die dies ermöglichen. Hashes gelten für Inline-Skripte und -Stile, aber nicht für Event-Handler. Weitere Informationen finden Sie unter Unsafe hashes.

Um Inline-Skripte und -Stile zu erlauben, kann 'unsafe-inline', eine Nonce-Source oder eine Hash-Source angegeben werden, die mit dem Inline-Block übereinstimmt. Die folgende Content Security Policy erlaubt alle Inline-

Alle Inline-Skripte zuzulassen, wird als Sicherheitsrisiko betrachtet, daher wird empfohlen, stattdessen eine Nonce-Source oder eine Hash-Source zu verwenden. Um Inline-Skripte und -Stile mit einer Nonce-Source zu erlauben, müssen Sie einen zufälligen Nonce-Wert generieren (mit einem kryptografisch sicheren Zufallstoken-Generator) und ihn in die Richtlinie aufnehmen. Es ist wichtig zu beachten, dass dieser Nonce-Wert dynamisch generiert werden muss, da er für jede HTTP-Anfrage einzigartig sein muss:

http

Content-Security-Policy: script-src 'nonce-2726c7f26c'

Anschließend müssen Sie denselben Nonce im

Alternativ können Sie Hashes aus Ihren Inline-Skripten erstellen. CSP unterstützt sha256, sha384 und sha512.

http

Content-Security-Policy: script-src 'sha256-B2yPHKaXnvFWtRChIbabYmUBFZdVfKKXHbWtWidDVF8='

Beim Generieren des Hashes dürfen die

Unsafe Hashes

Richtlinien für Inline-Ressourcen mit Hashes wie script-src 'sha256-{HASHED_INLINE_SCRIPT}' erlauben Skripte und Stile anhand ihres Hashs, aber nicht Event-Handler:

html

Anstatt 'unsafe-inline' zuzulassen, können Sie den 'unsafe-hashes' Quellausdruck verwenden, wenn der Code nicht auf gleichwertige addEventListener-Aufrufe aktualisiert werden kann. Angenommen, eine HTML-Seite enthält den folgenden Inline-Event-Handler:

html

Der folgende CSP-Header erlaubt die Ausführung des Skripts:

http

Content-Security-Policy:  script-src 'unsafe-hashes' 'sha256-{HASHED_EVENT_HANDLER}'

Unsafe Eval-Ausdrücke

Der 'unsafe-eval' Quellausdruck steuert mehrere Skriptausführungsmethoden, die Code aus Zeichenfolgen erstellen. Wenn eine Seite einen CSP-Header hat und 'unsafe-eval' nicht mit der script-src-Direktive angegeben ist, werden die folgenden Methoden blockiert und haben keine Wirkung:

eval()
Function()
Wenn ein Zeichenfolgenliteral wie zu Methoden wie: setTimeout("alert(\"Hello World!\");", 500); übergeben wird
window.execScript() Nicht standardisiert (nur IE < 11)

Unsafe WebAssembly-Ausführung

Der 'wasm-unsafe-eval' Quellausdruck steuert die WebAssembly-Ausführung. Wenn eine Seite einen CSP-Header hat und 'wasm-unsafe-eval' nicht in der script-src-Direktive angegeben ist, wird WebAssembly daran gehindert, auf der Seite geladen und ausgeführt zu werden.

Der 'wasm-unsafe-eval' Quellausdruck ist spezifischer als 'unsafe-eval', das sowohl die Kompilierung (und Instanziierung) von WebAssembly als auch beispielsweise die Verwendung der eval-Operation in JavaScript zulässt. Wenn das 'unsafe-eval' Quellenschlüsselwort verwendet wird, überschreibt dies jedes Vorkommen von 'wasm-unsafe-eval' in der CSP-Richtlinie.

http

Content-Security-Policy: script-src 'wasm-unsafe-eval'

strict-dynamic

Der 'strict-dynamic' Quellausdruck gibt an, dass das explizit einem Skript im Markup gegebene Vertrauen, indem es mit einer Nonce oder einem Hash versehen wird, auf alle Skripte, die von diesem Root-Skript geladen werden, übertragen werden soll. Gleichzeitig werden alle Allowlists oder Quellausdrücke wie 'self' oder 'unsafe-inline' ignoriert.

Zum Beispiel ermöglicht eine Richtlinie wie script-src 'strict-dynamic' 'nonce-R4nd0m' https://allowlisted.example.com/ das Laden eines Root-Skripts mit \n\n

Beachten Sie, dass auch Inline-Event-Handler blockiert werden:\n

html\n\nSie sollten sie durch addEventListener-Aufrufe ersetzen:\n
jsdocument.getElementById(\"btn\").addEventListener(\"click\", doSomething);\n\nWenn Sie Inline-Event-Handler nicht ersetzen können, können Sie den 'unsafe-hashes' Quellausdruck verwenden, um sie zuzulassen. Weitere Informationen finden Sie unter Unsafe hashes."}},{"type":"prose","value":{"id":"whitelisting_von_externen_skripten_mit_hashes","title":"Whitelisting von externen Skripten mit Hashes","isH3":true,"content":"
Das Zulassen von vertrauenswürdigen Domains, wie im obigen Abschnitt gezeigt, ist ein pragmatischer Ansatz, insbesondere wenn Ihre Website viele Ressourcen verwendet und Sie darauf vertrauen, dass die vertrauenswürdige Seite nicht gefährdet wird.\n
Eine alternative Methode ist das Angeben zulässiger Skripte unter Verwendung von Datei-Hashes. Mit diesem Ansatz kann eine externe Datei in einem \n\n
Das integrity-Attribut kann mehrere Werte haben, die jeweils einen Hash für die Datei liefern, der mit einem anderen Algorithmus berechnet wird. Damit ein externes Skript geladen werden kann, verlangt CSP, dass alle gültigen Hash-Werte im Attribut auch in der CSP-script-src-Deklaration enthalten sein müssen. Daher würde das folgende Skript nicht geladen, da der zweite Hash im obigen CSP-Header nicht vorhanden ist.\n
html\n\nDiese Regel gilt nur für gültige Hash-Werte. Werte, die vom Browser nicht als Hashes erkannt werden, werden ignoriert. Daher sollte das folgende Skript geladen werden:\nhtml\n\nSubresource Integrity enthält weitere Informationen über das Berechnen von Hashes und die Verwendung des integrity-Attributs."}},{"type":"prose","value":{"id":"unsafe_inline-skript","title":"Unsafe Inline-Skript","isH3":true,"content":"
\nHinweis:\nDas Unterbinden von Inline-Styles und Inline-Skripten ist einer der größten Sicherheitsvorteile, die CSP bietet.\nWenn Sie sie unbedingt verwenden müssen, gibt es einige Mechanismen, die dies ermöglichen.\nHashes gelten für Inline-Skripte und -Stile, aber nicht für Event-Handler.\nWeitere Informationen finden Sie unter Unsafe hashes.\n\n
Um Inline-Skripte und -Stile zu erlauben, kann 'unsafe-inline', eine Nonce-Source oder eine Hash-Source angegeben werden, die mit dem Inline-Block übereinstimmt. Die folgende Content Security Policy erlaubt alle Inline-\n\n
Alle Inline-Skripte zuzulassen, wird als Sicherheitsrisiko betrachtet, daher wird empfohlen, stattdessen eine Nonce-Source oder eine Hash-Source zu verwenden. Um Inline-Skripte und -Stile mit einer Nonce-Source zu erlauben, müssen Sie einen zufälligen Nonce-Wert generieren (mit einem kryptografisch sicheren Zufallstoken-Generator) und ihn in die Richtlinie aufnehmen. Es ist wichtig zu beachten, dass dieser Nonce-Wert dynamisch generiert werden muss, da er für jede HTTP-Anfrage einzigartig sein muss:\n
httpContent-Security-Policy: script-src 'nonce-2726c7f26c'\n\nAnschließend müssen Sie denselben Nonce im \n\n
Alternativ können Sie Hashes aus Ihren Inline-Skripten erstellen. CSP unterstützt sha256, sha384 und sha512.\n
httpContent-Security-Policy: script-src 'sha256-B2yPHKaXnvFWtRChIbabYmUBFZdVfKKXHbWtWidDVF8='\n\nBeim Generieren des Hashes dürfen die \n"}},{"type":"prose","value":{"id":"unsafe_hashes","title":"Unsafe Hashes","isH3":true,"content":"
Richtlinien für Inline-Ressourcen mit Hashes wie script-src 'sha256-{HASHED_INLINE_SCRIPT}' erlauben Skripte und Stile anhand ihres Hashs, aber nicht Event-Handler:\n
html\n\n\n\n\n\nAnstatt 'unsafe-inline' zuzulassen, können Sie den 'unsafe-hashes' Quellausdruck verwenden, wenn der Code nicht auf gleichwertige addEventListener-Aufrufe aktualisiert werden kann. Angenommen, eine HTML-Seite enthält den folgenden Inline-Event-Handler:\n
html\n\n\nDer folgende CSP-Header erlaubt die Ausführung des Skripts:\nhttpContent-Security-Policy:  script-src 'unsafe-hashes' 'sha256-{HASHED_EVENT_HANDLER}'\n"}},{"type":"prose","value":{"id":"unsafe_eval-ausdrücke","title":"Unsafe Eval-Ausdrücke","isH3":true,"content":"Der 'unsafe-eval' Quellausdruck steuert mehrere Skriptausführungsmethoden, die Code aus Zeichenfolgen erstellen. Wenn eine Seite einen CSP-Header hat und 'unsafe-eval' nicht mit der script-src-Direktive angegeben ist, werden die folgenden Methoden blockiert und haben keine Wirkung:\n\neval()\n
Function()\n
\nWenn ein Zeichenfolgenliteral wie zu Methoden wie: setTimeout(\"alert(\\\"Hello World!\\\");\", 500); übergeben wird\n\nsetTimeout()\n
setInterval()\n
setImmediate()\n\n\n
\nwindow.execScript() \nNicht standardisiert\n (nur IE < 11)\n\n"}},{"type":"prose","value":{"id":"unsafe_webassembly-ausführung","title":"Unsafe WebAssembly-Ausführung","isH3":true,"content":"
Der 'wasm-unsafe-eval' Quellausdruck steuert die WebAssembly-Ausführung. Wenn eine Seite einen CSP-Header hat und 'wasm-unsafe-eval' nicht in der script-src-Direktive angegeben ist, wird WebAssembly daran gehindert, auf der Seite geladen und ausgeführt zu werden.\n
Der 'wasm-unsafe-eval' Quellausdruck ist spezifischer als 'unsafe-eval', das sowohl die Kompilierung (und Instanziierung) von WebAssembly als auch beispielsweise die Verwendung der eval-Operation in JavaScript zulässt. Wenn das 'unsafe-eval' Quellenschlüsselwort verwendet wird, überschreibt dies jedes Vorkommen von 'wasm-unsafe-eval' in der CSP-Richtlinie.\n
httpContent-Security-Policy: script-src 'wasm-unsafe-eval'\n"}},{"type":"prose","value":{"id":"strict-dynamic","title":"strict-dynamic","isH3":true,"content":"Der 'strict-dynamic' Quellausdruck gibt an, dass das explizit einem Skript im Markup gegebene Vertrauen, indem es mit einer Nonce oder einem Hash versehen wird, auf alle Skripte, die von diesem Root-Skript geladen werden, übertragen werden soll. Gleichzeitig werden alle Allowlists oder Quellausdrücke wie 'self' oder 'unsafe-inline' ignoriert.\n
Zum Beispiel ermöglicht eine Richtlinie wie script-src 'strict-dynamic' 'nonce-R4nd0m' https://allowlisted.example.com/ das Laden eines Root-Skripts mit