Sicherheitsrichtlinien für Inhalte erklärt: Schutz von E-Commerce-Websites
Maschinell übersetzt

Sicherheitsrichtlinien für Inhalte erklärt: Schutz von E-Commerce-Websites

Nisha Katariya

Sicherheit und Compliance

Veröffentlicht am February 4, 2026

12 min read

Teilen auf:

Der Content Security Policy (CSP) Header spielt eine wichtige Rolle bei der Erfüllung der PCI DSS (Payment Card Industry Data Security Standard) Anforderungen, insbesondere auf Zahlungs- und Kassenseiten. Er trägt dazu bei, dass nur vertrauenswürdige Skripte ausgeführt werden dürfen, schützt die Integrität der Skripte und bewahrt die Kunden vor client-seitigen Angriffen, die von der traditionellen Backend-Sicherheit oft nicht abgefangen werden.

In der heutigen E-Commerce-Umgebung, insbesondere auf Drupal Commerce-Websites, sind starke CSP-Regeln nicht mehr nur ein Nice-to-have. Sie sind notwendig, um Zahlungsdaten zu schützen, das Vertrauen der Kunden zu gewinnen und moderne Sicherheitsstandards einzuhalten.

Wenn Content-Security-Policy-Header auf Server-Ebene angewendet werden, können Browser automatisch unautorisierte oder böswillige Anfragen blockieren, die versuchen, dynamische Inhalte in eine Seite einzufügen. Dieser zusätzliche Schutz verringert das Risiko skriptbasierter Angriffe bei sensiblen Vorgängen wie der Kaufabwicklung und der Zahlungsabwicklung erheblich.

Die Content-Security-Policy ist wichtig, aber sie ist nur ein Teil der Website-Sicherheit. Probleme wie veraltete Versionen, schwache Konfigurationen und Skripte von Drittanbietern können ebenfalls Risiken mit sich bringen.

Ein Sicherheits-Audit hilft dabei, herauszufinden, was Ihre Website beeinträchtigt, und zeigt, wo Verbesserungen erforderlich sind, um Schwachstellen zu verringern und den Schutz zu verstärken.

Sicherheitslücken identifizieren

Nun, lassen Sie uns verstehen...

Was ist eine Content Security Policy?

Eine Content Security Policy (CSP) ist ein Web-Sicherheitsstandard, der Webanwendungen eine zusätzliche Schutzschicht verleiht. Sie ermöglicht es Entwicklern, explizit festzulegen, welche Ressourcen, wie JavaScript, CSS, Bilder, Schriftarten und Frames, auf einer Webseite geladen und ausgeführt werden dürfen.

Die Hauptfunktionen einer Content Security Policy lassen sich in drei Teile gliedern:

  • Sicherstellen, dass alle Skripte sicher und vom Eigentümer der Anwendung genehmigt sind (vorzugsweise durch Bestätigung, dass sie einem in der Policy definierten Zufallsbezeichner, dem so genannten CSP-Nonce, entsprechen),
  • Sicherstellen, dass Seitenressourcen wie Bilder, Stylesheets oder Frames aus zuverlässigen Quellen stammen,
  • verschiedene zusätzliche Sicherheitsmaßnahmen: Unter anderem wird verhindert, dass die Anwendung von nicht vertrauenswürdigen Sites geframt wird, und alle Ressourcenanfragen werden automatisch auf HTTPS umgestellt.

Die Implementierung einer strikten Richtlinie, die nicht vertrauenswürdige Skripte oder Plugins blockiert, kann eine wesentliche Verteidigungsschicht gegen Markup-Injection-Angriffe darstellen. In dieser Dokumentation wird die XSS-Minderungsfunktion der Inhaltssicherheitsrichtlinie hervorgehoben, da XSS zu den am weitesten verbreiteten und schädlichsten Web-Schwachstellen gehört.

Was ist Content Security Policy CSP Drupalfit

Wie sind CSP-Richtlinien strukturiert?

Eine Content Security Policy ist als eine Reihe von Richtlinien definiert, die durch Semikolons getrennt sind. Jede Richtlinie steuert einen bestimmten Ressourcentyp oder ein bestimmtes Verhalten.

Jede Richtlinie folgt dieser Struktur:

  • Name der Richtlinie
  • Ein Leerzeichen
  • Ein oder mehrere zulässige Werte

Unterschiedliche Richtlinien können unterschiedliche Werte haben, je nachdem, was sie steuern.

Beispiel:

Content-Security-Policy: default-src 'self'; img-src 'self' Beispiel.com

Diese Richtlinie enthält zwei Direktiven:

  • default-src 'self'
  • img-src 'self' example.com

Was das bedeutet:

  1. default-src 'self'

    Setzt eine Standardregel, die es erlaubt, dass Ressourcen nur vom gleichen Ursprung wie die Website geladen werden.

  2. img-src 'self' example.com

    Setzt die Standardregel für Bilder außer Kraft und erlaubt das Laden von Bildern von:

    1. der gleichen Herkunft
    2. example.com

Wenn keine spezifischere Richtlinie definiert ist, wendet der Browser die Regeln von default-src an.

Auch ausprobieren

  1. Time to Interactive (TTI): Why It Matters and How to Improve It

  2. AI and the Future of SEO: Eine vollständige Analyse

  3. Technische SEO-Exzellenz: Erhöhen Sie die Sichtbarkeit mit intelligenten Audits mit DrupalFit

  4. Einhaltung der digitalen Barrierefreiheit: Ein praktischer Leitfaden

Gängige CSP-Richtlinien erläutert

 

default-src

default-src setzt die Standardregeln zum Laden aller Ressourcen. Die Verwendung von 'self' erlaubt nur Ressourcen von der gleichen Website.

Sie dient als Fallback, wenn keine spezifische Direktive definiert ist.

script-src

Sie legt die erlaubten Quellen für JavaScript-Dateien fest.

Wenn Ihre Website nicht auf clientseitiges Scripting angewiesen ist, kann diese Direktive auf "none" gesetzt werden, um die Ausführung von Skripten zu verhindern.

img-src

Steuert, von wo Bilder geladen werden können.

Dies ist nützlich, um Bildquellen auf vertrauenswürdige Domains zu beschränken, insbesondere wenn es sich um Inhalte von Drittanbietern handelt.

media-src

Definiert die erlaubten Quellen für Rich Media wie Audio- und Video-Dateien.

object-src

Bestimmt die erlaubten Quellen für Plugins wie Flash oder andere eingebettete Objekte.

In modernen Anwendungen wird dies oft auf 'none' gesetzt, um die Angriffsfläche zu reduzieren.

manifest-src

Steuert, von wo aus die Manifestdateien von Webanwendungen geladen werden können.

frame-ancestors

Definiert, welche Ursprünge die Seite mittels <frame>, <iframe>, <object>, <embed>, oder <applet> einbetten dürfen.

Diese Direktive hilft, Clickjacking-Angriffe zu verhindern.

form-action

Legt fest, welche URLs als Ziele für Formularübermittlungen zulässig sind.

Im Gegensatz zu vielen anderen Direktiven greift form-action nicht auf default-src zurück, weshalb es wichtig ist, sie bei der Verwendung von Formularen explizit zu definieren.

plugin-types

Bestimmt, welche Plugin-MIME-Typen über eingebettete Objekte, Applets oder Embeds aktiviert werden können.

base-uri

Kontrolliert, welche URLs im <base> Element verwendet werden können, was Angreifer daran hindert, die Auflösung relativer URLs zu verändern.

Die Anwendung dieser Richtlinien in einer realen CSP-Konfiguration

Nun, da die einzelnen Richtlinien klar sind, wollen wir sehen, wie sie in einem realen Szenario zusammenwirken.

Nachfolgend ein Beispiel für eine Content-Security-Policy, die speziell für die Kontrolle von Skripten und Bildern entwickelt wurde, die zwei der häufigsten Angriffsvektoren für XSS und Content-Injection sind.

CSP für Bilder und Skripte

Content-Security-Policy:  

default-src 'self';

script-src 'self' https://trusted.cdn.com;

img-src 'self' https://images.example.com;

Was dies bewirkt:

  • default-src 'self' setzt eine sichere Basis für alle Ressourcen
  • script-src erlaubt JavaScript nur von:
    • der Website selbst ('self')
    • einem vertrauenswürdigen Content Delivery Network
  • img-src erlaubt Bilder nur von:
    • Die Website selbst
    • Ein bestimmter externer Bild-Host

Durch die explizite Auflistung vertrauenswürdiger Domains verhindert die Content Security Policy, dass der Browser Skripte oder Bilder aus unbekannten oder bösartigen Quellen lädt.

Anwendung dieser Richtlinien in der realen CSP-Konfiguration Content Security Policy CSP DrupalFit

Wie funktioniert CSP?

CSP funktioniert auf Browserebene durch einen einfachen, aber mächtigen Mechanismus:

  • Der Server sendet einen Content-Security-Policy-Header mit der HTTP-Antwort.
  • Der Browser liest die definierten Regeln und setzt sie durch.
  • Jede Ressource, die gegen die Richtlinie verstößt, wird blockiert oder gemeldet.

Selbst wenn es einem Angreifer gelingt, bösartigen Code in die Seite einzuschleusen, verhindert der Browser, dass er ausgeführt wird.

Die Funktionsweise der Inhaltssicherheitsrichtlinie zu verstehen, ist der erste Schritt. Die eigentliche Wirkung ergibt sich aus der korrekten Konfiguration für die Struktur Ihrer Website, die Ressourcen und die Integration von Drittanbietern.

Durch regelmäßiges Überprüfen und Testen Ihrer CSP können Sie sicherstellen, dass Ihre Richtlinien wirksam bleiben, wenn sich Ihre Website weiterentwickelt und neue Skripte oder Dienste hinzugefügt werden.

Überprüfen Sie Ihre Website-Sicherheit

Aber....

Warum ist eine Inhaltssicherheitsrichtlinie wichtig?

Eine Inhaltssicherheitsrichtlinie fungiert als Schutzschicht zwischen Ihrer Website und dem Browser, indem sie festlegt, welche Inhalte ausgeführt werden dürfen, und bösartiges Verhalten stoppt, bevor es die Benutzer erreicht.

Die folgenden Punkte umreißen die wichtigsten Sicherheitsvorteile der Implementierung einer starken Inhaltssicherheitsrichtlinie:

Verringerung von Cross-Site Scripting

Das Hauptziel der CSP ist die Verringerung und Identifizierung von XSS-Angriffen. XSS-Angriffe nutzen das Vertrauen des Browsers in den Inhalt aus, den er vom Server erhält. Der Browser des Opfers kann schädliche Skripte ausführen, weil er der Inhaltsquelle vertraut.

Mit Hilfe der Content Security Policy können Server-Administratoren die Ausführung von XSS durch Angreifer einschränken oder verhindern, indem sie festlegen, welche Internet-Domänen als gültige Quellen für ausführbare Skripte angesehen werden. Browser, die sich an die CSP halten, führen nur Skripte aus Quelldateien aus, die von zugelassenen Domänen stammen, und ignorieren alle anderen Skripte, einschließlich Inline-Skripte und HTML-Ereignisbehandlungsattribute.

Verhindern von Online-Skimming- und Magecart-Angriffen

Moderne E-Commerce-Angriffe zielen oft auf die Client-Seite ab, insbesondere auf Zahlungsformulare. Magecart-ähnliche Angriffe schleusen bösartiges JavaScript ein, um Kreditkartendaten abzuschöpfen, bevor sie an den Server gesendet werden.

Die Content Security Policy hilft, diese Angriffe zu verhindern, indem sie:

  • unautorisierte Skripte von Drittanbietern blockiert
  • einschränkt, von wo aus Skripte geladen werden können
  • verdächtiges Skript-Verhalten über Berichte erkennt

Für Drupal Commerce-Kassenseiten ist dies aufgrund der starken Nutzung von Drittanbieter-Integrationen wie Zahlungs-Gateways, Analyse- und Marketing-Tools besonders wichtig.

Reduzierung von Packet Sniffing und Durchsetzung von HTTPS

Neben dem Whitelisting von Domains für das Laden von Inhalten können Server auch die zulässigen Protokolle definieren. So kann der Server beispielsweise verlangen, dass Browser Inhalte über HTTPS laden.

Zu einer gründlichen Schutzpolitik für die Datenübertragung gehört nicht nur die Verwendung von HTTPS für die Datenübertragung, sondern auch die Sicherstellung, dass alle Cookies das Attribut "sicher" tragen und HTTP-Seiten automatisch auf HTTPS umgeleitet werden. Außerdem können Websites HTTP-Strict-Transport-Security-Header implementieren, um zu gewährleisten, dass Browser nur über sichere Kanäle mit der Website verbunden werden.

ALSO CHECK OUT

  1. Website Audit: Performen Sie wie ein Profi und verbessern Sie Ihre digitale Erfahrung

  2. Ganzheitliche Website-Analyse: Where SEO, Performance, Security & Accessibility Converge

  3. DrupalFit: Ihre Komplettlösung für Sicherheit, Barrierefreiheit & Leistung

  4. DrupalCon Vienna 2025: What's Coming & What We're Bringing

A Real-World Example of CSP Optimization

Um die Auswirkungen der Content Security Policy (CSP) besser zu verstehen, schauen wir uns ein reales Beispiel an, wie DrupalFit einem Kunden geholfen hat, die Sicherheit seiner Website zu verbessern.

Ein erstes Sicherheitsaudit

Als wir ein umfassendes Sicherheitsaudit der Drupal-Website des Kunden durchführten, zeigten die Ergebnisse, dass die allgemeine Sicherheitslage bei etwa 80 % lag.

Während dies auf eine einigermaßen sichere Einrichtung hindeutete, zeigte das Audit auch Lücken in den client-seitigen Sicherheitskontrollen auf, insbesondere in Bezug darauf, wie externe Skripte und dynamische Ressourcen geladen wurden.

Diese Lücken sind bei wachsenden Drupal-Websites, die auf mehrere Integrationen von Drittanbietern, Analysetools und Marketingskripte angewiesen sind, üblich.

A Real World Example of CSP Optimization Content Security Policy CSP DrupalFit 1

Identifizierung der Content Security Policy als Key Improvement Area

Während des Audits stellten wir fest, dass die bestehende Content Security Policy entweder nur locker definiert oder nicht für die aktuelle Architektur der Website optimiert war. Dadurch erhöhte sich das Risiko:

  • Unbefugte Skriptausführung
  • Aufdeckung von Daten auf der Client-Seite
  • Anfälligkeit für XSS- und Skimming-Angriffe

Nach der Implementierung der aktualisierten Inhaltssicherheitsrichtlinie und der erneuten Durchführung des Sicherheitsaudits zeigte die Website eine deutliche Verbesserung ihrer Gesamtsicherheitsbewertung und übertraf den ursprünglichen Ausgangswert von 80%.

Dieses Beispiel zeigt, dass selbst gezielte Verbesserungen wie die Verschärfung der Sicherheitsrichtlinien für Inhalte die Sicherheit einer Website erheblich verbessern können, ohne dass größere architektonische Änderungen erforderlich sind.

A Real World Example of CSP Optimization Content Security Policy CSP DrupalFit 2

The Bottom Line

Content Security Policy ist ein praktischer Weg zu kontrollieren, was Ihre Website im Browser laden und ausführen darf. Durch die Definition vertrauenswürdiger Quellen für Skripte, Bilder und andere Ressourcen hilft CSP dabei, gängige Angriffe wie XSS und Online-Skimming zu stoppen, bevor sie den Benutzer erreichen. Der wahre Wert von CSP liegt in der sorgfältigen Konfiguration und der Anpassung an die sich entwickelnde Konfiguration Ihrer Website. Wie sich in der Praxis zeigt, können selbst kleine Verbesserungen an CSP die Sicherheit auf der Client-Seite ohne größere Änderungen spürbar verbessern.

Verwandte Artikel

Tools und Strategien, die moderne Teams benötigen, um ihr Unternehmen voranzubringen

Mehr erfahren