Content-Security-Policy - der Alleskönner-Header

von Renee Bäcker (‎reneeb‎) (Frankfurt.pm)

Content-Security-Policy - der Alleskönner-Header richtet sich an Alle und wird in Deutsch gehalten. Der Talk beginnt am 16.04.2024 um 15:50 Uhr und dauert 20 Minuten. Er findet im Raum 1 statt.

Wer Webanwendungen entwickelt, muss sich nicht nur Gedanken um die fachlichen Funktionalitäten machen. Es gibt so viele Möglichkeiten, an denen Angreifer versuchen können, Schwachstellen der Anwendung auszunutzen. Dabei geht es nicht immer darum, auf den Server zu gelangen. Häufig geht es darum, die Besucher der Webseite hinter das Licht zu führen.

Das können zum Beispiel Cross-Site-Scripting-Lücken (XSS) sein, um Informationen über den Besucher an die Angreifer zu schicken, oder die Originalseite in einem (großen Frame) einzubetten um den Besuchern vorzugaukeln, sie wären auf der Originalseite.

Es gibt noch viel mehr Dinge, die man als Entwickler:in zu beachten hat. Einige Angriffspunkte kann man durch den Browser schließen lassen, wenn man diesem sagt, wie er sich zu verhalten hat.

Ich zeige, was der HTTP-Header Content-Security-Policy so alles kann.

Teilnahmeinteresse:

• Karoly Jely (‎Charlie‎)
• Tina Müller (‎tinita‎)
• Alexander Sigel (‎raku_punk‎)
• Aristotle
• Wieland Pusch