Content-Security-Policy (CSP) richtig implementieren

**SpeGal** · 19.01.2023, 15:45

Hey liebe Community,
wir versuchen, unsere Websites auf ein A+ bei der Sicherheitsbewertung zu bekommen (bspw. https://securityheaders.io). Von der Grundinstallation von Contao 4.13 aus ist die Bewertung schon echt gut mit "A". Für das Plus fehlt aber noch die Content-Security-Policy, sagt er.

Online konnte ich nur das hier finden:
https://github.com/contao/contao/issues/1174

Da bekomme ich in der Bewertung dann aber:

Code:

This policy contains 'unsafe-inline' which is dangerous in the default-src directive.

Leider konnte ich nirgends eine einfache Anleitung finden, wie man Contao mit dem CSP-Header richtig absichert. Der Weg über nelmio_security scheint mir plausiebel, aber eigentlich müsste der doch strenger eingestellt sein, als auf Github beschrieben.

Die contao.org bekommt ein A+ ohne diese Warnung. Kann mir vielleicht jemand einfach hier posten, was dort für Einstellungen vorgenommen werden? (Grundsätzlich wäre natürlich um so cooler, wenn Contao diese Einstellungen schon von Haus aus fertig eingebaut hätte

DANKE EUCH!

**BennyBorn** · 20.01.2023, 09:25

Ich hatte mir das Thema für unsere eigene Seite auch einmal angesehen.
Ein A+ scheint mir so nicht ganz möglich weil im Backend einige Inline-Skripte vorkommen die dann durch eine entsprechende Policy ausgehebelt würden.

**Spooky** · 20.01.2023, 09:51

Ich denke die Sicherheitsbewertung würde ohnehin nur für das Frontend (ohne Login) gelten. In so fern kann man mit einem kernel.response Event Listener die entsprechenden CSP Header setzen. Allerdings wird man ein paar Anpassungen benötigen. Bspw. wirst du bei inline <script> auch die Nonce hinzufügen müssen (kann man sich aus einem Service vom Nelmio Security Bundle holen).

**SpeGal** · 20.01.2023, 10:05

Das hört sich sehr kompliziert an ^^

CSP sollte doch mittlerweile schon irgendwie Standard sein, oder? Könnte man das nicht besser in Contao von Grund auf implementieren?

Und falls nicht, oder bis dahin, hätte jemand eine einfache Schritt-für-Schritt-Anleitung, wie man vorgehen muss?

**tab** · 20.01.2023, 13:56

Also wenn es "Standard" sein sollte (wie definierst du das?), dann ein Standard, den derzeit nur ein ziemlich kleiner Bruchteil aller existierenden Websites erfüllt.
Beachte auch den Unterschied zwischen "Das ist Standard" und "Das ist ein Standard". Das Erstere heißt für mich, "das" ist etwas, was die große Mehrheit so macht bzw implementiert. Also z.B. Wordpress zu benutzen

. Das Letztere ist etwas eher Abstraktes, man muss irgendwelche Vorgaben/Bedingungen erfüllen, um seine Website irgendwie (z.B. "securityheaders.io A+") nennen zu dürfen, siehe auch DIN/ISO Standards. Also: Nur weil etwas ein Standard ist, ist es noch lange nicht Standard.

Das heißt für mich: CSP ist ein Standard, aber noch lange nicht Standard.

**av3nger** · 23.01.2023, 21:04

Zitat von Spooky

Ich denke die Sicherheitsbewertung würde ohnehin nur für das Frontend (ohne Login) gelten. In so fern kann man mit einem kernel.response Event Listener die entsprechenden CSP Header setzen. Allerdings wird man ein paar Anpassungen benötigen. Bspw. wirst du bei inline <script> auch die Nonce hinzufügen müssen (kann man sich aus einem Service vom Nelmio Security Bundle holen).

Müsste das nicht mit den Twig-Templates relativ einfach funktionieren? Zumindest bei reinen Symfony-Projekten brauche ich dafür ja nur

Code:

<script nonce="{{ csp_nonce('script') }}">
// hier dann der JS-Code
</script>

verwenden. Habe bislang aber kein Contao-Projekt mit Twig-Templates umgesetzt und weiß nicht, ob das da dann auch so komfortabel funktioniert.

Bei SecurityHeaders komme ich sogar auf ein A+, weil ich weder default-src, noch script-src oder style-src festgelegt habe. Da ist https://observatory.mozilla.org/analyze/ doch etwas strenger.

**Spooky** · 23.01.2023, 23:17

Ja, für Twig liefert das Nelmio Security Bundle eine Extension. Die Contao Core JavaScript Templates (wenn man die verwendet) sind aber nicht mit Twig umgesetzt.

**SpeGal** · 24.01.2023, 08:54

Sehe ich das also richtig, dass bisher keiner hier seine Contao-Installation mit CSP schützt und daher auch niemand eine einfache Anleitung dazu posten kann?

**av3nger** · 24.01.2023, 09:49

Auch ohne das A+ sind die Contao-Installationen ja nicht grundsätzlich unsicher. Wenn sich jemand unbefugtes Zugriff zum Backend verschafft und dort gefährlichen JavaScript in die Templates o. ä. einschleust, würde auch für den gefährlichen Code ein nonce generiert werden. Ansonsten habe ich meine Contao-Installationen habe ich die Security-Header größtenteils noch über die Nginx-Konfiguration konfiguriert.

Ein guter Anlaufpunkt ist die GitHub-Seite von NelmioSecurityBundle, in der auch Konfigurationsbeispiele genannt sind, die Du in die config/config.yml übernehmen kannst. default-src none sorgt erst mal dafür, dass quasi gar nichts erlaubt ist. Bei einer produktiven Umgebung wäre das natürlich erst mal hart, weswegen die Einstellungen am besten erst mal im report-Block statt im enforce-Block vorgenommen werden sollten. Für die Reports könnte ich u. a. https://report-uri.com/ (stammt wie auch SecurityHeaders.com von Scott Helme und kann für bis zu 3 Domains kostenlos genutzt werden) empfehlen. Das kann etwas dabei unterstützen, die richtigen Einstellungen vorzunehmen.

Hilfreich wäre es natürlich, keine inline-Scripts (nach Möglichkeit in .js-Dateien auslagern) oder inline-Styles (gehört m. E. alles in eine .css-Datei) zu haben, dann ist hier auch kein unsafe-inline erforderlich und das A+ wäre recht einfach zu erreichen. Ansonsten bietet Contao von Haus aus keine Möglichkeit, nonce-Werte für Scripts zu verwenden - außer halt bei den Twig-Templates, weswegen das mit Contao 5 vielleicht einfacher werden könnte. Wie so ein Block in einem Twig-Template aussieht, habe ich ja zuvor gepostet.

**Spooky** · 24.01.2023, 09:53

Zitat von av3nger

Ein guter Anlaufpunkt ist die GitHub-Seite von NelmioSecurityBundle, in der auch Konfigurationsbeispiele genannt sind, die Du in die config/config.yml übernehmen kannst.

Das Nelmio Security Bundle kann man dafür leider nicht verwenden, da sich das dann auch auf das Backend auswirken würde. Und manche Policies würden das Backend dann funktionsunfähig machen.