CONTENTSECURITYPOLICYAKTIV - Detailbeschreibung

Überblick

Parameter:CONTENTSECURITYPOLICYAKTIV
Kategorie: Custom (Benutzerdefiniert)
Standardwert: 0 (deaktiviert)
Produkt: eTASK.Sonstige (Custom)

Was macht dieser Parameter?

Dieser Parameter aktiviert oder deaktiviert die Content Security Policy (CSP) für das eTASK-Portal. Er steuert, ob die in CONTENTSECURITYPOLICY definierte Sicherheitsrichtlinie vom Browser umgesetzt wird. Der Parameter bietet drei Modi: vollständig deaktiviert, aktiv blockierend (Verstöße werden blockiert), oder Report-Only (Verstöße werden nur protokolliert, aber nicht blockiert).

Wofür wird dieser Parameter verwendet?

Aktivierung/Deaktivierung der Content Security Policy
Steuerung des CSP-Modus (blockierend vs. nur protokollierend)
Sichere Testphase für neue CSP-Konfigurationen (Report-Only-Modus)
Schrittweise Einführung von CSP-Sicherheitsmaßnahmen
Troubleshooting bei CSP-bedingten Problemen

Technische Details (für Administratoren)

Format: Integer (Ganzzahl)
Standardwert: 0

Gültige Werte:

0 = CSP wird nicht verwendet (deaktiviert)
1 = CSP ist aktiviert und wird umgesetzt (blockierender Modus)
2 = CSP-Vorfälle werden im Applikations-Log protokolliert ohne Blockade (Report-Only-Modus)

Wichtige Hinweise:

Der Parameter steuert nur die Aktivierung, nicht den Inhalt der CSP
Die eigentliche CSP-Richtlinie wird in CONTENTSECURITYPOLICY definiert
Bei Wert 1: HTTP-Header content-security-policy wird gesendet
Bei Wert 2: HTTP-Header content-security-policy-report-only wird gesendet
Bei Wert 0: Kein CSP-Header wird gesendet

Zusammenspiel mit anderen Parametern:

CONTENTSECURITYPOLICY: Definiert die eigentliche CSP-Richtlinie (welche Ressourcen erlaubt sind)
XFRAMEOPTIONS: Ergänzende Sicherheitsmaßnahme gegen Clickjacking
CONTENTTYPEOPTIONSNOSNIFFACTIVE: Verhindert MIME-Type-Sniffing
XPERMITTEDCROSSDOMAINPOLICIES: Schutz vor Cross-Domain-Embedding

Wann sollten Sie diesen Wert ändern?

Wert auf `0` (deaktiviert) belassen, wenn:

Sie CSP nicht verwenden möchten
Sie Probleme mit der aktuellen CSP-Konfiguration haben und schnell reagieren müssen
Externe Ressourcen eingebunden sind, die CSP-Verstöße verursachen

Wert auf `1` (aktiv blockierend) setzen, wenn:

Sie maximale Sicherheit gegen XSS-Angriffe möchten
Die CSP-Konfiguration ausgiebig getestet wurde
Sie den Report-Only-Modus erfolgreich durchlaufen haben
Produktivbetrieb mit aktiver CSP-Sicherheitsmaßnahme gewünscht ist

Wert auf `2` (Report-Only) setzen, wenn:

Sie eine neue CSP-Konfiguration testen möchten
Sie Verstöße identifizieren möchten, ohne Funktionen zu blockieren
Sie schrittweise CSP einführen möchten
Sie die Auswirkungen von CSP-Änderungen analysieren möchten

Wichtige Hinweise

Report-Only-Modus für Tests nutzen
Bevor Sie CSP aktivieren (Wert 1), testen Sie ausgiebig mit Wert 2 (Report-Only). So identifizieren Sie CSP-Verstöße, ohne dass Funktionen blockiert werden.
Applikations-Log überwachen
Im Report-Only-Modus (Wert 2) werden CSP-Verstöße im Applikations-Log protokolliert. Überprüfen Sie die Logs regelmäßig auf Einträge zu blockierten Ressourcen.
Browser-Konsole beachten
CSP-Verstöße werden auch in der Browser-Entwicklerkonsole (F12) angezeigt, unabhängig vom Modus. Nutzen Sie dies für schnelles Debugging.
Schnelle Deaktivierung bei Problemen Wenn CSP unerwartete Probleme verursacht, können Sie mit Wert 0 die CSP sofort deaktivieren, ohne CONTENTSECURITYPOLICY ändern zu müssen.
Stufenweise Aktivierung empfohlen
Empfohlener Ablauf: 0 (deaktiviert) → 2 (Report-Only, testen über mehrere Tage) → 1 (aktiv blockierend)
Keine Zwischenwerte
Verwenden Sie ausschließlich die Werte 0, 1 oder 2. Andere Werte werden wie 0 (deaktiviert) behandelt.

Sicherheit

Hat eine Änderung dieses Parameters Auswirkungen auf die Sicherheit?

Ja, dieser Parameter hat direkte Sicherheitsauswirkungen.

Positive Sicherheitsaspekte:

Wert 1 (aktiv):

Maximaler XSS-Schutz: Blockiert unerlaubte Scripts aktiv
Code-Injection-Schutz: Verhindert Ausführung unerwünschter Scripts
Echtzeit-Schutz: Browser setzt CSP-Regeln sofort um
Defense-in-Depth: Zusätzliche Sicherheitsebene für Web-Anwendungen

Wert 2 (Report-Only):

Sicheres Testen: Ermöglicht CSP-Tests ohne Funktionsbeeinträchtigung
Monitoring: Identifiziert potenzielle Sicherheitslücken
Vorbereitung: Erkennt Probleme vor Produktivschaltung

Sicherheitsrisiken:

Wert 0 (deaktiviert):

Kein CSP-Schutz: XSS-Angriffe werden nicht durch CSP verhindert
Erhöhtes Risiko: Code-Injection-Angriffe sind möglich
Fehlende Sicherheitsebene: Keine CSP-basierte Absicherung

Wert 2 (Report-Only):

Nur Monitoring: Angriffe werden erkannt, aber nicht blockiert
Keine aktive Abwehr: Schutz ist passiv, nicht präventiv

Best Practices:

Produktivsysteme: Wert 1 (aktiv) verwenden für maximale Sicherheit
Test-/Entwicklungsumgebungen: Wert 2 für sichere Tests
Notfälle: Wert 0 nur temporär bei akuten Problemen
Monitoring: Bei Wert 1 weiterhin Logs überwachen
Regelmäßige Prüfung: CSP-Konfiguration bei jedem Update überprüfen

Empfehlung: Für Produktivsysteme sollte CONTENTSECURITYPOLICYAKTIV auf 1 gesetzt werden, sofern die CSP-Konfiguration korrekt ist und getestet wurde. Der Report-Only-Modus (2) ist ideal für die Testphase, sollte aber nicht dauerhaft in Produktion verwendet werden.

Praktisches Beispiel

Ausgangssituation: Sie haben das eTASK-Portal erfolgreich installiert und möchten nun die Content Security Policy aktivieren, um das Portal gegen XSS-Angriffe abzusichern. Sie sind sich jedoch unsicher, ob die Standard-CSP alle Funktionen erlaubt.

Empfohlener Ablauf:

Phase 1: Ausgangszustand (Wert 0)

Aktuelle Konfiguration: - CONTENTSECURITYPOLICYAKTIV = 0 - CONTENTSECURITYPOLICY = (Standardwert)

Das Portal läuft ohne CSP-Schutz.

Phase 2: Report-Only-Test (Wert 2)

Setzen Sie CONTENTSECURITYPOLICYAKTIV = 2
Testen Sie das Portal über 3-7 Tage im normalen Betrieb
Alle Funktionen funktionieren normal (nichts wird blockiert)
CSP-Verstöße werden nur protokolliert

Monitoring während der Testphase:

Prüfen Sie täglich das Applikations-Log und die Browser-Konsole (F12):

Beispiel-Logeinträge bei Verstößen:

[CSP] Refused to load script from 'https://external-cdn.com/script.js' 
because it violates the Content Security Policy directive: "default-src 'self'..."

Ergebnis nach Testphase:

Keine CSP-Verstöße gefunden → Phase 3
CSP-Verstöße gefunden → CONTENTSECURITYPOLICY anpassen, erneut testen mit Wert 2

Phase 3: Aktivierung (Wert 1)

Nach erfolgreicher Testphase:

Setzen Sie CONTENTSECURITYPOLICYAKTIV = 1
CSP ist jetzt aktiv und blockiert Verstöße
Portal ist gegen XSS-Angriffe geschützt
Alle legitimen Funktionen funktionieren weiterhin

Nach der Aktivierung:

HTTP-Header content-security-policy wird bei jeder Anfrage gesendet
Browser setzt CSP-Regeln aktiv um
Unerlaubte Scripts werden blockiert
Portal ist sicherer gegen XSS- und Code-Injection-Angriffe
Monitoring bleibt aktiv (Browser-Konsole zeigt weiterhin Verstöße)

Notfall-Deaktivierung:

Falls nach Aktivierung ein kritisches Problem auftritt:

Setzen Sie CONTENTSECURITYPOLICYAKTIV sofort zurück auf 0
Portal funktioniert wieder ohne CSP-Einschränkungen
Analysieren Sie das Problem
Passen Sie CONTENTSECURITYPOLICY an
Testen Sie erneut mit Wert 2 (Report-Only)
Reaktivieren Sie mit Wert 1

Ergebnis: Durch die stufenweise Aktivierung mit Report-Only-Modus wurden alle CSP-Probleme identifiziert und behoben, bevor die aktive Blockierung scharf geschaltet wurde. Das Portal ist nun sicher gegen XSS-Angriffe, ohne dass Funktionen beeinträchtigt sind.

Empfohlene Einstellung

Für Produktivsysteme:1(aktiv blockierend)

Begründung:

Maximale Sicherheit gegen XSS-Angriffe
Aktive Abwehr von Code-Injection
Bewährte Sicherheitsmaßnahme
Browser setzt CSP-Regeln konsequent um
Standard in modernen Web-Sicherheitskonzepten

Für Test-/Entwicklungsumgebungen:2(Report-Only)