Beveilig je website met CSP headers

Door An Truong, Back-end developer
12 maart 2018 - 2503 x bekeken - Categorie├źn: Tech, Kennis

Content Security Policy (CSP) is voor sommigen onbekend terrein en voor anderen gesneden koek. In het kort: CSP headers zijn een belangrijk aspect voor de security van je website. En hoewel het steeds vaker wordt gebruikt om websites mee te beveiligen, wordt het nog wel vaak incorrect geïmplementeerd. Zonde, want hierdoor ontstaan er gaten in de beveiliging van je website. Resultaat: een verhoogd beveiligingsrisico! En daar zit je natuurlijk niet op te wachten.

XSS-risico verminderen met CSP

CSP is een methode om een XSS-risico te verminderen. XSS staat voor Cross-site Scripting. Dit is de naam van een fout in de beveiliging van je website. Door deze bug kan er een kwaadaardige code in een website worden geïntegreerd. Kwaadwillenden kunnen hierdoor sessie cookies bekijken en de website verrijken met een functionaliteit. Maar ook kan een sessie van een gebruiker worden overgenomen waardoor er onbedoelde acties worden uitgevoerd. Met CSP plaats je regels in de header die bepalen wat er ingeladen mag worden in je website en uit welke bron dit mag komen.

De impact en schade door XXS

In 2005 is er een XSS-worm actief geweest: Samy. Samy heeft in 20 uur meer dan een miljoen mensen getroffen via Myspace. Hiermee is de bug het snelst groeiende virus aller tijde. Hoewel deze worm niet erg schadelijk is geweest voor de gebruikers van Myspace, had hij wel een impact op hun account. Bij ieder geïnfecteerd profiel verscheen de tekst:  "But most of all, Samy is my hero". Sindsdien heeft het sociale netwerk de beveiliging flink aangescherpt.

Fysieke aanvallen

Een ander voorbeeld heeft zelfs fysieke schade geleverd aan gebruikers. Door een script in te laden op een forum voor mensen met epilepsie, werd er een flitsend geanimeerd gifje ingeladen. Dit gifje veroorzaakte bij gebruikers een epileptische aanval.

Gebruik CSP voor een betrouwbare site!

CSP is er dus zeker niet voor niets. Het vergroot de betrouwbaarheid van je website en houdt kwaadwillende buiten de deur. Wil je ook gebruik maken van CSP headers? Laat het mij weten! Ik help je graag verder.

 

Developer en graag bezig met dit soort ontwikkelingen? Check onze vacatures

 

 

Bluetooth in app development

Door Bas van Kuijck

Bluetooth inzetten bij het ontwikkelen van een native iOS en Android app, hoe werkt dit?

Lees verder