CSP in 't [gradient]kort[/gradient]

| Blogs

 

"The HTTP Content-Security-Policy response header allows website administrators to control resources the user agent is allowed to load for a given page. With a few exceptions, policies mostly involve specifying server origins and script endpoints. This helps guard against cross-site scripting attacks."

MDN Web DocsDe technische omschrijving zoals je deze wel vaker terug kunt vinden

De technische omschrijving van Content-Security-Policy (CSP) is niet erg veelzeggend en laat nog wel wat aan de fantasie over. Net als de afkorting is de uitleg gelukkig vrij simpel. Je geeft expliciet aan wat de browser van je bezoeker wel en niet mag inladen vanaf jouw site. Plaatjes, stylesheets, scripts, embedded video's vanaf YouTube, vrijwel alles verwerk je in een CSP.

Wat mag wel? - een andere focus

In plaats van aan te geven wat niet mag, focus je bij CSP op wat wel is toegestaan. Je weet vooraf niet vanuit welke hoek een cyberaanval of hackpoging kan komen, maar wel wat vanaf 't begin vertrouwde bronnen zijn. Als je achteraf gaat reageren op een aanval ben je in de meeste gevallen al te laat. Het is goed om risico's vooraf in kaart te hebben gebracht.

Een goed begin om je CSP in te stellen is de CDN waarop de afbeeldingen van je site staan en de stylesheet van je eigen domein toe te voegen. Daarnaast moet je in veel gevallen rekening houden met een marketeer die graag Google Analytics, Facebook tracking-pixels of andere scripts op de website plaatst. In dit geval wordt de werkwijze van implementatie voor de marketeer wat anders. In plaats van volledige vrijheid via het CMS, zal dit vanaf nu afgestemd moeten worden met de beheerder van de CSP.

Als website administrator is CSP een zegen op het gebied van veiligheid. Je hoeft je bijvoorbeeld geen zorgen meer te maken over malafide scriptjes die de betaalgegevens van klanten doorsturen naar een ongecontroleerd systeem. De marketeer denkt daar vermoedelijk anders over, die is namelijk een deel van zijn/haar vrijheid kwijt. Die afweging tussen veiligheid en bewegingsvrijheid kunnen we alleen met elkaar en de klant maken, achter deze simpele uitleg gaat een behoorlijke impact schuil.

CSP and... repeat!

Dit is geen puur-technische uitdaging. Iedere wijziging, van een koppeling met nieuwe CRM-software tot embedden van video's en plaatjes vanaf je social-media kanalen, komt in aanraking met CSP. En wat als er een nieuw video-platform bijkomt? Je zult een CSP continu moeten blijven evalueren en bijsturen. Daarnaast zul je ook dingen moeten uitproberen en het zogezegd laten groeien.

Het ideaalplaatje vanuit die website administrator is alles dicht te zetten. Maar de marketeer wil natuurlijk iets meer vrijheid. Vanuit die gedachten zou je bijvoorbeeld ook kunnen beginnen met een 'open' policy. Vanuit daar kan je vervolgens rapporten van 'overtredingen' doornemen en afwegen op welke punten je de policy gaat aanscherpen. Dit proces herhaal je totdat je op een punt zit waar er een mooie balans is tussen veiligheid en vrijheid.

Ben je nieuwsgierig naar CSP en zou je dit ook willen implementeren binnen jouw digitale platform? Neem vrijblijvend contact met ons op

Operations engineer