Die .htaccess-Datei ist ein mächtiges Werkzeug zur Konfiguration von Webservern, insbesondere des Apache-Webservers. Eine der wichtigen Aufgaben, die Sie mit .htaccess erledigen können, ist das Hinzufügen von HTTP-Headern zu den Serverantworten. HTTP-Header sind entscheidend, um die Sicherheit und Performance Ihrer Website zu verbessern. In diesem Artikel werden wir uns auf das Hinzufügen von Content Security Policy (CSP)-Headern konzentrieren, die dazu beitragen, Ihre Website vor böswilligen Angriffen zu schützen.

Was ist eine Content Security Policy (CSP)?

Eine Content Security Policy (CSP) ist eine Sicherheitsrichtlinie, die festlegt, welche Ressourcen auf einer Website geladen werden dürfen und von welchen Quellen sie stammen können. CSP ist ein wichtiger Schutzmechanismus gegen Cross-Site Scripting (XSS) und andere Angriffe, bei denen böswilliger Code auf Ihrer Website ausgeführt wird.

CSP funktioniert, indem es im Header der HTTP-Antwort Ihrer Website definiert wird. Die Richtlinie gibt an, welche Domänen oder Ressourcen von Ihrem Webserver geladen werden dürfen. Wenn ein Browser eine Anfrage an Ihre Website stellt und die Antwort eine nicht autorisierte Ressource enthält, wird diese blockiert.

Das Hinzufügen eines CSP-Headers mit .htaccess

Um einen CSP-Header zu Ihrer Website hinzuzufügen, öffnen Sie Ihre .htaccess-Datei und fügen Sie die folgenden Zeilen hinzu:

Header always set Content-Security-Policy "default-src  self ; script-src  self  example.com;"

Die obige Zeile fügt einen CSP-Header hinzu, der besagt, dass nur Ressourcen von Ihrer eigenen Domain ( self ) und von example.com für Skripte (script-src) geladen werden dürfen. Sie können diese Richtlinie an Ihre spezifischen Anforderungen anpassen.

Hier ist eine kurze Erklärung der verwendeten Direktiven:

default-src: Diese Direktive legt die Standardquelle für alle Arten von Ressourcen fest. In diesem Fall ist es self , was bedeutet, dass alle Ressourcen von Ihrer eigenen Domain geladen werden dürfen.

script-src: Diese Direktive legt fest, von welchen Domänen Skripte geladen werden dürfen. In diesem Beispiel ist es self und example.com.

Stellen Sie sicher, dass Sie diese Richtlinie an Ihre eigenen Bedürfnisse anpassen, um sicherzustellen, dass Ihre Website ordnungsgemäß funktioniert.

Weitere CSP-Direktiven

CSP bietet eine Vielzahl von Direktiven, mit denen Sie genau steuern können, welche Ressourcen von welchen Quellen geladen werden dürfen. Einige wichtige CSP-Direktiven sind:

img-src: Legt fest, von welchen Domänen Bilder geladen werden dürfen.
style-src: Steuert, von welchen Domänen Stylesheets geladen werden dürfen.
font-src: Bestimmt, von welchen Domänen Schriftarten geladen werden dürfen.
connect-src: Definiert, welche Domänen für AJAX-Anfragen und WebSockets erlaubt sind.
Es ist wichtig, diese Direktiven sorgfältig zu konfigurieren, um die Sicherheit Ihrer Website zu gewährleisten, ohne die Funktionalität zu beeinträchtigen.

Fazit

Die Verwendung von Content Security Policy (CSP) ist ein wichtiger Schritt, um die Sicherheit Ihrer Website zu verbessern, indem Sie kontrollieren, welche Ressourcen von welchen Quellen geladen werden dürfen. Die Konfiguration eines CSP-Headers in Ihrer .htaccess-Datei ist eine effektive Methode, um diese Sicherheitsrichtlinie zu implementieren. Stellen Sie sicher, dass Sie die Direktiven entsprechend Ihren Anforderungen anpassen, um die bestmögliche Balance zwischen Sicherheit und Funktionalität zu erreichen.