T
security cors csp xss csrf web-dev

Web-Security-Header und Angriffe: CORS, CSP, XSS und CSRF

Schützen Sie Ihre Webanwendungen. Erfahren Sie, wie Sie Security-Header wie CSP und HSTS implementieren, um sich gegen XSS und CSRF zu wehren.

2026-04-11

Web-Sicherheits-Header und häufige Angriffe: Ein umfassender Leitfaden

Die Sicherung einer modernen Webanwendung erfordert einen mehrschichtigen Ansatz. Von der Netzwerkschicht, in der Firewalls den Datenverkehr filtern, bis zur Anwendungsschicht, in der Sicherheits-Header dem Browser Anweisungen zum Verhalten geben, spielt jede Schicht eine entscheidende Rolle. Dieser Leitfaden untersucht die wichtigsten Tools und Header, die Sie kennen müssen, um sich gegen die häufigsten Webangriffe zu verteidigen.

1. Verteidigung auf Netzwerkschicht: Firewalls und Intrusion Prevention

Die erste Verteidigungslinie befindet sich oft auf der Serverebene. Tools wie Firewalls und Intrusion-Prevention-Systeme überwachen den eingehenden Datenverkehr und blockieren böswillige Akteure, bevor sie überhaupt Ihre Anwendung erreichen.

Firewall-Tools: iptables, nftables und ufw

  • iptables: Das traditionelle Linux-Firewall-Tool zur Verwaltung von IPv4-Paketfilterung und NAT. Es verwendet „Ketten“ und „Regeln“, um zu entscheiden, was mit eingehenden Paketen geschehen soll.
  • nftables: Der moderne Nachfolger von iptables, der darauf ausgelegt ist, es durch eine effizientere und flexiblere Syntax zu ersetzen. Es bietet ein einheitliches Framework für IPv4 und IPv6.
  • ufw (Uncomplicated Firewall): Eine benutzerfreundliche Oberfläche zur Verwaltung von iptables/nftables. Es ist das Standard-Firewall-Konfigurationstool für Ubuntu und perfekt für Entwickler geeignet, die einfache, leicht zu verwaltende Regeln wünschen.

fail2ban

fail2ban ist eine Intrusion-Prevention-Software, die Server vor Brute-Force-Angriffen schützt. Es scannt Protokolldateien auf wiederholte fehlgeschlagene Anmeldeversuche und aktualisiert Firewall-Regeln, um die IP-Adressen für eine bestimmte Dauer zu „sperren“.

2. Wesentliche Web-Sicherheits-Header

Sicherheits-Header sind HTTP-Antwort-Header, die dem Browser mitteilen, wie er mit den Inhalten Ihrer Website umgehen soll. Sie sind eine leistungsstarke und kostengünstige Methode, um viele Arten von Angriffen abzuschwächen.

CSP (Content Security Policy)

CSP ist einer der wichtigsten Sicherheits-Header. Er ermöglicht es Ihnen, anzugeben, welchen Inhaltsquellen (Skripte, Stile, Bilder) vertraut wird. Durch die Einschränkung, von wo aus Skripte geladen werden können, ist CSP die primäre Verteidigung gegen XSS (Cross-Site Scripting).

HSTS (HTTP Strict Transport Security)

HSTS teilt dem Browser mit, dass auf die Website nur über HTTPS zugegriffen werden darf. Dies verhindert „SSL-Stripping“-Angriffe und stellt sicher, dass die gesamte Kommunikation verschlüsselt ist.

SRI (Subresource Integrity)

SRI ist eine Sicherheitsfunktion, mit der Browser überprüfen können, ob Ressourcen, die sie abrufen (z. B. von einem CDN), ohne unerwartete Manipulationen bereitgestellt wurden. Es verwendet einen kryptografischen Hash, um die Integrität der Datei sicherzustellen.

CORS (Cross-Origin Resource Sharing)

Obwohl CORS im Sinne einer Sperrung nicht strikt ein „Sicherheits-Header“ ist, ist es ein Mechanismus, der es ermöglicht, eingeschränkte Ressourcen auf einer Webseite von einer anderen Domain außerhalb der Domain anzufordern, von der die erste Ressource bereitgestellt wurde. Die korrekte Konfiguration von CORS ist entscheidend, um unbefugten Datenzugriff zu verhindern.

3. Häufige Angriffe verstehen und abmildern

XSS (Cross-Site Scripting)

XSS tritt auf, wenn ein Angreifer bösartige Skripte in eine vertrauenswürdige Website einschleust. Dies kann verwendet werden, um Cookies, Sitzungstoken oder sensible Informationen zu stehlen.

  • Verteidigung: Verwenden Sie CSP, bereinigen Sie Benutzereingaben und kodieren Sie Daten, bevor sie im Browser gerendert werden.

CSRF (Cross-Site Request Forgery)

CSRF ist ein Angriff, der einen authentifizierten Benutzer dazu zwingt, unerwünschte Aktionen in einer Webanwendung auszuführen, in der er gerade authentifiziert ist.

  • Verteidigung: Verwenden Sie Anti-CSRF-Token, SameSite-Cookie-Attribute und überprüfen Sie die Header Origin oder Referer.

SSRF (Server-Side Request Forgery)

Bei einem SSRF-Angriff kann der Angreifer Funktionen auf dem Server missbrauchen, um interne Ressourcen zu lesen oder zu aktualisieren. Der Angreifer kann eine URL angeben, an die die serverseitige Anwendung eine Anfrage stellt.

  • Verteidigung: Validieren Sie vom Benutzer angegebene URLs, verwenden Sie Allow-Lists für ausgehende Anfragen und beschränken Sie den Zugriff auf das interne Netzwerk vom Anwendungsserver aus.

Fazit

Websicherheit ist ein kontinuierlicher Prozess der Verbesserung und Überwachung. Durch die Kombination robuster Tools auf Netzwerbene wie ufw und fail2ban mit starken Headern auf Anwendungsebene wie CSP und HSTS können Sie die Angriffsfläche Ihrer Anwendungen erheblich reduzieren. Bleiben Sie informiert, halten Sie Ihre Tools auf dem neuesten Stand und priorisieren Sie immer die Sicherheit der Daten Ihrer Benutzer.

Zurück zum Blog