Mit der Content Security Policy kannst du die Sicherheit deiner extern erreichbaren Seiten erhöhen. Dazu gehören zum Beispiel Stellenanzeigen oder das Bewerbungsformular.
In den Grundeinstellungen kannst du die Content Security Policy aktivieren oder deaktivieren.
Was ist eine Content Security Policy?
Eine Content Security Policy, kurz CSP, ist eine Sicherheitsregel für Webseiten.
Sie wird beim Aufruf einer Seite vom Server an den Browser übermittelt. Der Browser prüft dann, welche Inhalte auf der Seite geladen oder ausgeführt werden dürfen. Dazu können zum Beispiel gehören:
- Bilder
- Schriftarten
- Videos
- Skripte
- Stylesheets
- eingebettete Inhalte von externen Diensten
Vereinfacht gesagt: Die Content Security Policy legt fest, welchen Quellen der Browser vertrauen darf.
Warum ist das wichtig?
Externe Seiten sind öffentlich erreichbar. Deshalb ist es besonders wichtig, dass dort nur die Inhalte geladen werden, die vorgesehen und sicher sind.
Eine aktive Content Security Policy hilft dabei, bestimmte Angriffsarten zu erschweren. Dazu gehören zum Beispiel Versuche, fremde Skripte in eine Seite einzuschleusen oder unerwünschte Inhalte von nicht vorgesehenen Quellen nachzuladen.
Die Content Security Policy ist damit eine zusätzliche Schutzmaßnahme für deine externen Seiten und für die Personen, die diese Seiten aufrufen.
Was passiert, wenn ich die Content Security Policy aktiviere?
Wenn du die Content Security Policy aktivierst, werden für Stellenanzeigen und andere externe Seiten entsprechende Sicherheits-Header ausgeliefert.
Dadurch können nur noch Inhalte von ausgewählten externen Quellen geladen werden. Der Browser blockiert Inhalte, die nicht zu den erlaubten Quellen gehören.
Das betrifft insbesondere Inhalte, die du selbst in extern sichtbaren Bereichen eingebunden hast, zum Beispiel:
- Bilder von externen Bildquellen
- Videos von Videoplattformen
- Tracking- oder Analyse-Skripte
- eingebettete Karten, Widgets oder iFrames
Vorteile der Aktivierung
Die Aktivierung der Content Security Policy kann mehrere Vorteile haben:
- Mehr Sicherheit: Nicht freigegebene externe Inhalte und Skripte werden blockiert.
- Besserer Schutz für Bewerbende: Personen, die deine Stellenanzeigen oder andere externe Seiten aufrufen, sind besser vor unerwünschten Inhalten geschützt.
- Mehr Kontrolle: Es ist klarer definiert, welche externen Quellen auf deinen Seiten verwendet werden dürfen.
- Unterstützung von Sicherheitsanforderungen: Die CSP kann dabei helfen, interne oder externe Sicherheitsanforderungen besser zu erfüllen.
Mögliche Auswirkungen der Aktivierung
Die Content Security Policy kann auch Auswirkungen auf bestehende Inhalte haben.
Wenn du aktuell Inhalte von externen Quellen verwendest, die nicht erlaubt sind, können diese nach der Aktivierung blockiert werden. Die Seite selbst bleibt erreichbar, aber einzelne Inhalte werden möglicherweise nicht mehr angezeigt oder funktionieren nicht wie erwartet.
Mögliche Beispiele:
- Ein eingebettetes Video wird nicht mehr angezeigt.
- Ein extern geladenes Bild fehlt in einer Stellenanzeige.
- Ein eingebundenes Widget funktioniert nicht mehr.
- Ein Tracking- oder Analyse-Skript wird nicht mehr ausgeführt.
- Individuelle Design-Anpassungen über externe CSS- oder JavaScript-Dateien greifen nicht mehr.
Das ist kein Fehler der Seite, sondern die beabsichtigte Schutzwirkung der Content Security Policy: Inhalte aus nicht freigegebenen Quellen werden blockiert.
Empfehlung vor der Aktivierung
Prüfe vor der Aktivierung, ob du auf externen Seiten Inhalte von Drittquellen verwendest.
Achte besonders auf:
- Stellenanzeigen mit eingebetteten Bildern, Videos oder Widgets
- eigene HTML-, CSS- oder JavaScript-Erweiterungen
- Tracking-, Analyse- oder Consent-Tools
- externe Schriftarten oder Medienquellen
- eingebettete Inhalte von Plattformen außerhalb von d.vinci
Wenn du unsicher bist, aktiviere die Content Security Policy zunächst zu einem Zeitpunkt, an dem du deine wichtigsten externen Seiten direkt prüfen kannst.
Was sollte ich nach der Aktivierung prüfen?
Rufe nach der Aktivierung deine wichtigsten externen Seiten auf und prüfe, ob alle benötigten Inhalte angezeigt werden.
Empfohlen sind insbesondere diese Prüfungen:
- Öffne mehrere Stellenanzeigen.
- Prüfe Bilder, Videos und eingebettete Inhalte.
- Teste den Bewerbungsstart und relevante Formulare.
- Prüfe individuell eingebundene Skripte oder Design-Anpassungen.
- Dokumentiere Inhalte, die nicht mehr angezeigt werden.
Wenn wichtige Inhalte nicht mehr funktionieren, kannst du die Content Security Policy wieder deaktivieren und die betroffenen Einbindungen prüfen.
Was bedeutet es, wenn ich die Content Security Policy deaktiviert lasse?
Wenn die Content Security Policy nicht aktiviert ist, werden externe Inhalte weniger stark eingeschränkt.
Das kann sinnvoll sein, wenn du aktuell viele individuelle externe Einbindungen nutzt und diese zunächst prüfen möchtest. Gleichzeitig verzichtest du dann aber auf die zusätzliche Schutzwirkung der Content Security Policy.
Aus Sicherheitssicht empfehlen wir, die Aktivierung zu prüfen und externe Einbindungen möglichst bewusst einzusetzen.
Häufige Fragen
Muss ich die Content Security Policy aktivieren?
Die Aktivierung ist optional. Du entscheidest selbst, ob du die Content Security Policy für deine externen Seiten verwenden möchtest.
Betrifft die Einstellung auch interne Seiten?
Die Einstellung bezieht sich auf Stellenanzeigen und andere externe Seiten. Sie greift aber auch auf internen Seite bei z.B. der Vorschau einer Stellenanzeige.
Warum werden Inhalte nach der Aktivierung nicht mehr angezeigt?
Inhalte können blockiert werden, wenn sie von einer Quelle geladen werden, die nicht erlaubt ist. Das kann zum Beispiel bei extern eingebundenen Bildern, Videos, Skripten oder Widgets passieren.
Kann ich die Einstellung wieder deaktivieren?
Ja. Du kannst die Content Security Policy in den Grundeinstellungen wieder deaktivieren.
Was mache ich, wenn nach der Aktivierung etwas nicht funktioniert?
Prüfe zuerst, ob der betroffene Inhalt von einer externen Quelle geladen wird. Wenn ja, entferne oder ersetze die Einbindung oder kläre, ob diese Quelle weiterhin verwendet werden soll. Bei Fragen unterstützt dich unser Support.