SSP-2.2.1: Fehlender oder fehlerhafter Content Security Policy Header (Login-Seite SSP)
Zusammenfassung
Zur Absicherung der Webanwendung sollte ein Content Security Policy (CSP) Header gesetzt werden.
Schritte zum Reproduzieren
- https://webbkoll.dataskydd.net/de/results?url=http%3A%2F%2Fportal.auth-prod.fit-connect.fitko.net%2Flogin#csp
- https://webbkoll.dataskydd.net/de/results?url=http%3A%2F%2Fportal.auth-testing.fit-connect.fitko.dev%2Flogin#csp
Wie verhält sich der aktuelle Fehler?
- Der CSP-Header fehlt oder ist fehlerhaft
Was ist das erwartete richtige Verhalten?
- Der CSP-Header ist vorhanden und so restriktiv wie möglich gesetzt
Relevante Protokolle/Screenshots/Anfragen
Aus CON.10 Entwicklung von Webanwendungen:
CON.10.A14 Sichere HTTP-Konfiguration bei Webanwendungen (S)
Zum Schutz vor Clickjacking, Cross-Site-Scripting und anderen Angriffen SOLLTEN die Entwickler geeignete HTTP-Response-Header setzen. Es SOLLTEN mindestens die folgenden HTTP-Header verwendet werden: Content-Security-Policy, Strict-Transport-Security, Content-Type, X-Content- Type-Options sowie Cache-Control. Die verwendeten HTTP-Header SOLLTEN auf die Webanwendung abgestimmt werden. Die verwendeten HTTP-Header SOLLTEN so restriktiv wie möglich sein. Cookies SOLLTEN grundsätzlich mit den Attributen secure, SameSite und httponly gesetzt werden.
Akzeptanzkriterien zur Fehlerbehebung
- [ ]
- [ ]
- [ ]