Content-Security-Policy - der Alleskönner-Header

by Renee Bäcker (‎reneeb‎) (Frankfurt.pm)

Content-Security-Policy - der Alleskönner-Header aimed at Any and is held in Deutsch. This talk starts on 2024-04-16 at 15:50 for 20 minutes. It takes place at the Room 1.

Wer Webanwendungen entwickelt, muss sich nicht nur Gedanken um die fachlichen Funktionalitäten machen. Es gibt so viele Möglichkeiten, an denen Angreifer versuchen können, Schwachstellen der Anwendung auszunutzen. Dabei geht es nicht immer darum, auf den Server zu gelangen. Häufig geht es darum, die Besucher der Webseite hinter das Licht zu führen.

Das können zum Beispiel Cross-Site-Scripting-Lücken (XSS) sein, um Informationen über den Besucher an die Angreifer zu schicken, oder die Originalseite in einem (großen Frame) einzubetten um den Besuchern vorzugaukeln, sie wären auf der Originalseite.

Es gibt noch viel mehr Dinge, die man als Entwickler:in zu beachten hat. Einige Angriffspunkte kann man durch den Browser schließen lassen, wenn man diesem sagt, wie er sich zu verhalten hat.

Ich zeige, was der HTTP-Header Content-Security-Policy so alles kann.

Interest in attending:

• Karoly Jely (‎Charlie‎)
• Tina Müller (‎tinita‎)
• Alexander Sigel (‎raku_punk‎)
• Aristotle
• Wieland Pusch