Content Security Policy (CSP)

Content Security Policy ist ein HTTP-Sicherheitsheader, der Browser anweist, welche Quellen für Skripte, Stylesheets, Bilder und andere Ressourcen einer Webseite geladen werden dürfen. Durch eine restriktive CSP lassen sich Cross-Site-Scripting-Angriffe (XSS) erheblich erschweren, da eingeschleuster Schadcode nicht aus fremden Quellen nachgeladen werden kann. In IT-Leistungsverzeichnissen für Webanwendungen und Portale im öffentlichen Sektor sollte eine konfigurierte und getestete CSP als technisches Muss-Kriterium aufgenommen werden.