
Nisha Katariya
Veröffentlicht am February 4, 2026
12 min read
Teilen auf:
Der Content Security Policy (CSP) Header spielt eine wichtige Rolle bei der Erfüllung der PCI DSS (Payment Card Industry Data Security Standard) Anforderungen, insbesondere auf Zahlungs- und Kassenseiten. Er trägt dazu bei, dass nur vertrauenswürdige Skripte ausgeführt werden dürfen, schützt die Integrität der Skripte und bewahrt die Kunden vor client-seitigen Angriffen, die von der traditionellen Backend-Sicherheit oft nicht abgefangen werden.
In der heutigen E-Commerce-Umgebung, insbesondere auf Drupal Commerce-Websites, sind starke CSP-Regeln nicht mehr nur ein Nice-to-have. Sie sind notwendig, um Zahlungsdaten zu schützen, das Vertrauen der Kunden zu gewinnen und moderne Sicherheitsstandards einzuhalten.
Wenn Content-Security-Policy-Header auf Server-Ebene angewendet werden, können Browser automatisch unautorisierte oder böswillige Anfragen blockieren, die versuchen, dynamische Inhalte in eine Seite einzufügen. Dieser zusätzliche Schutz verringert das Risiko skriptbasierter Angriffe bei sensiblen Vorgängen wie der Kaufabwicklung und der Zahlungsabwicklung erheblich.
Die Content-Security-Policy ist wichtig, aber sie ist nur ein Teil der Website-Sicherheit. Probleme wie veraltete Versionen, schwache Konfigurationen und Skripte von Drittanbietern können ebenfalls Risiken mit sich bringen.
Ein Sicherheits-Audit hilft dabei, herauszufinden, was Ihre Website beeinträchtigt, und zeigt, wo Verbesserungen erforderlich sind, um Schwachstellen zu verringern und den Schutz zu verstärken.
Sicherheitslücken identifizieren
Nun, lassen Sie uns verstehen...
Eine Content Security Policy (CSP) ist ein Web-Sicherheitsstandard, der Webanwendungen eine zusätzliche Schutzschicht verleiht. Sie ermöglicht es Entwicklern, explizit festzulegen, welche Ressourcen, wie JavaScript, CSS, Bilder, Schriftarten und Frames, auf einer Webseite geladen und ausgeführt werden dürfen.
Die Hauptfunktionen einer Content Security Policy lassen sich in drei Teile gliedern:
Die Implementierung einer strikten Richtlinie, die nicht vertrauenswürdige Skripte oder Plugins blockiert, kann eine wesentliche Verteidigungsschicht gegen Markup-Injection-Angriffe darstellen. In dieser Dokumentation wird die XSS-Minderungsfunktion der Inhaltssicherheitsrichtlinie hervorgehoben, da XSS zu den am weitesten verbreiteten und schädlichsten Web-Schwachstellen gehört.

Eine Content Security Policy ist als eine Reihe von Richtlinien definiert, die durch Semikolons getrennt sind. Jede Richtlinie steuert einen bestimmten Ressourcentyp oder ein bestimmtes Verhalten.
Jede Richtlinie folgt dieser Struktur:
Unterschiedliche Richtlinien können unterschiedliche Werte haben, je nachdem, was sie steuern.
Beispiel:
Content-Security-Policy: default-src 'self'; img-src 'self' Beispiel.com
Diese Richtlinie enthält zwei Direktiven:
Was das bedeutet:
default-src 'self'
Setzt eine Standardregel, die es erlaubt, dass Ressourcen nur vom gleichen Ursprung wie die Website geladen werden.
img-src 'self' example.com
Setzt die Standardregel für Bilder außer Kraft und erlaubt das Laden von Bildern von:
Wenn keine spezifischere Richtlinie definiert ist, wendet der Browser die Regeln von default-src an.
Auch ausprobieren
Time to Interactive (TTI): Why It Matters and How to Improve It
Technische SEO-Exzellenz: Erhöhen Sie die Sichtbarkeit mit intelligenten Audits mit DrupalFit
Einhaltung der digitalen Barrierefreiheit: Ein praktischer Leitfaden
default-src | default-src setzt die Standardregeln zum Laden aller Ressourcen. Die Verwendung von 'self' erlaubt nur Ressourcen von der gleichen Website. Sie dient als Fallback, wenn keine spezifische Direktive definiert ist. |
|---|---|
script-src | Sie legt die erlaubten Quellen für JavaScript-Dateien fest. Wenn Ihre Website nicht auf clientseitiges Scripting angewiesen ist, kann diese Direktive auf "none" gesetzt werden, um die Ausführung von Skripten zu verhindern. |
img-src | Steuert, von wo Bilder geladen werden können. Dies ist nützlich, um Bildquellen auf vertrauenswürdige Domains zu beschränken, insbesondere wenn es sich um Inhalte von Drittanbietern handelt. |
media-src | Definiert die erlaubten Quellen für Rich Media wie Audio- und Video-Dateien. |
object-src | Bestimmt die erlaubten Quellen für Plugins wie Flash oder andere eingebettete Objekte. In modernen Anwendungen wird dies oft auf 'none' gesetzt, um die Angriffsfläche zu reduzieren. |
manifest-src | Steuert, von wo aus die Manifestdateien von Webanwendungen geladen werden können. |
frame-ancestors | Definiert, welche Ursprünge die Seite mittels <frame>, <iframe>, <object>, <embed>, oder <applet> einbetten dürfen. Diese Direktive hilft, Clickjacking-Angriffe zu verhindern. |
form-action | Legt fest, welche URLs als Ziele für Formularübermittlungen zulässig sind. Im Gegensatz zu vielen anderen Direktiven greift form-action nicht auf default-src zurück, weshalb es wichtig ist, sie bei der Verwendung von Formularen explizit zu definieren. |
plugin-types | Bestimmt, welche Plugin-MIME-Typen über eingebettete Objekte, Applets oder Embeds aktiviert werden können. |
base-uri | Kontrolliert, welche URLs im <base> Element verwendet werden können, was Angreifer daran hindert, die Auflösung relativer URLs zu verändern. |
Nun, da die einzelnen Richtlinien klar sind, wollen wir sehen, wie sie in einem realen Szenario zusammenwirken.
Nachfolgend ein Beispiel für eine Content-Security-Policy, die speziell für die Kontrolle von Skripten und Bildern entwickelt wurde, die zwei der häufigsten Angriffsvektoren für XSS und Content-Injection sind.
CSP für Bilder und Skripte
Content-Security-Policy:
default-src 'self';
script-src 'self' https://trusted.cdn.com;
img-src 'self' https://images.example.com;
Was dies bewirkt:
Durch die explizite Auflistung vertrauenswürdiger Domains verhindert die Content Security Policy, dass der Browser Skripte oder Bilder aus unbekannten oder bösartigen Quellen lädt.

CSP funktioniert auf Browserebene durch einen einfachen, aber mächtigen Mechanismus:
Selbst wenn es einem Angreifer gelingt, bösartigen Code in die Seite einzuschleusen, verhindert der Browser, dass er ausgeführt wird.
Die Funktionsweise der Inhaltssicherheitsrichtlinie zu verstehen, ist der erste Schritt. Die eigentliche Wirkung ergibt sich aus der korrekten Konfiguration für die Struktur Ihrer Website, die Ressourcen und die Integration von Drittanbietern.
Durch regelmäßiges Überprüfen und Testen Ihrer CSP können Sie sicherstellen, dass Ihre Richtlinien wirksam bleiben, wenn sich Ihre Website weiterentwickelt und neue Skripte oder Dienste hinzugefügt werden.
Überprüfen Sie Ihre Website-Sicherheit
Aber....
Eine Inhaltssicherheitsrichtlinie fungiert als Schutzschicht zwischen Ihrer Website und dem Browser, indem sie festlegt, welche Inhalte ausgeführt werden dürfen, und bösartiges Verhalten stoppt, bevor es die Benutzer erreicht.
Die folgenden Punkte umreißen die wichtigsten Sicherheitsvorteile der Implementierung einer starken Inhaltssicherheitsrichtlinie:
Verringerung von Cross-Site Scripting
Das Hauptziel der CSP ist die Verringerung und Identifizierung von XSS-Angriffen. XSS-Angriffe nutzen das Vertrauen des Browsers in den Inhalt aus, den er vom Server erhält. Der Browser des Opfers kann schädliche Skripte ausführen, weil er der Inhaltsquelle vertraut.
Mit Hilfe der Content Security Policy können Server-Administratoren die Ausführung von XSS durch Angreifer einschränken oder verhindern, indem sie festlegen, welche Internet-Domänen als gültige Quellen für ausführbare Skripte angesehen werden. Browser, die sich an die CSP halten, führen nur Skripte aus Quelldateien aus, die von zugelassenen Domänen stammen, und ignorieren alle anderen Skripte, einschließlich Inline-Skripte und HTML-Ereignisbehandlungsattribute.
Verhindern von Online-Skimming- und Magecart-Angriffen
Moderne E-Commerce-Angriffe zielen oft auf die Client-Seite ab, insbesondere auf Zahlungsformulare. Magecart-ähnliche Angriffe schleusen bösartiges JavaScript ein, um Kreditkartendaten abzuschöpfen, bevor sie an den Server gesendet werden.
Die Content Security Policy hilft, diese Angriffe zu verhindern, indem sie:
Für Drupal Commerce-Kassenseiten ist dies aufgrund der starken Nutzung von Drittanbieter-Integrationen wie Zahlungs-Gateways, Analyse- und Marketing-Tools besonders wichtig.
Reduzierung von Packet Sniffing und Durchsetzung von HTTPS
Neben dem Whitelisting von Domains für das Laden von Inhalten können Server auch die zulässigen Protokolle definieren. So kann der Server beispielsweise verlangen, dass Browser Inhalte über HTTPS laden.
Zu einer gründlichen Schutzpolitik für die Datenübertragung gehört nicht nur die Verwendung von HTTPS für die Datenübertragung, sondern auch die Sicherstellung, dass alle Cookies das Attribut "sicher" tragen und HTTP-Seiten automatisch auf HTTPS umgeleitet werden. Außerdem können Websites HTTP-Strict-Transport-Security-Header implementieren, um zu gewährleisten, dass Browser nur über sichere Kanäle mit der Website verbunden werden.
ALSO CHECK OUT
Website Audit: Performen Sie wie ein Profi und verbessern Sie Ihre digitale Erfahrung
Ganzheitliche Website-Analyse: Where SEO, Performance, Security & Accessibility Converge
DrupalFit: Ihre Komplettlösung für Sicherheit, Barrierefreiheit & Leistung
Um die Auswirkungen der Content Security Policy (CSP) besser zu verstehen, schauen wir uns ein reales Beispiel an, wie DrupalFit einem Kunden geholfen hat, die Sicherheit seiner Website zu verbessern.
Ein erstes Sicherheitsaudit
Als wir ein umfassendes Sicherheitsaudit der Drupal-Website des Kunden durchführten, zeigten die Ergebnisse, dass die allgemeine Sicherheitslage bei etwa 80 % lag.
Während dies auf eine einigermaßen sichere Einrichtung hindeutete, zeigte das Audit auch Lücken in den client-seitigen Sicherheitskontrollen auf, insbesondere in Bezug darauf, wie externe Skripte und dynamische Ressourcen geladen wurden.
Diese Lücken sind bei wachsenden Drupal-Websites, die auf mehrere Integrationen von Drittanbietern, Analysetools und Marketingskripte angewiesen sind, üblich.

Identifizierung der Content Security Policy als Key Improvement Area
Während des Audits stellten wir fest, dass die bestehende Content Security Policy entweder nur locker definiert oder nicht für die aktuelle Architektur der Website optimiert war. Dadurch erhöhte sich das Risiko:
Nach der Implementierung der aktualisierten Inhaltssicherheitsrichtlinie und der erneuten Durchführung des Sicherheitsaudits zeigte die Website eine deutliche Verbesserung ihrer Gesamtsicherheitsbewertung und übertraf den ursprünglichen Ausgangswert von 80%.
Dieses Beispiel zeigt, dass selbst gezielte Verbesserungen wie die Verschärfung der Sicherheitsrichtlinien für Inhalte die Sicherheit einer Website erheblich verbessern können, ohne dass größere architektonische Änderungen erforderlich sind.

Content Security Policy ist ein praktischer Weg zu kontrollieren, was Ihre Website im Browser laden und ausführen darf. Durch die Definition vertrauenswürdiger Quellen für Skripte, Bilder und andere Ressourcen hilft CSP dabei, gängige Angriffe wie XSS und Online-Skimming zu stoppen, bevor sie den Benutzer erreichen. Der wahre Wert von CSP liegt in der sorgfältigen Konfiguration und der Anpassung an die sich entwickelnde Konfiguration Ihrer Website. Wie sich in der Praxis zeigt, können selbst kleine Verbesserungen an CSP die Sicherheit auf der Client-Seite ohne größere Änderungen spürbar verbessern.