Instructie
Configuratie modus - Systeem - Security instellingen

In der i-Reserve Umgebung ist es möglich, eine Content Security Policy (CSP) einzustellen. Eine CSP ist eine zusätzliche Sicherheitsschicht, die verhindert, dass schädliche Skripte und unerwünschte Inhalte in der i-Reserve Umgebung ausgeführt werden. Die CSP teilt dem Browser mit, welche Inhaltsquellen (wie Skripte, Stylesheets, Bilder und Videos) geladen und ausgeführt werden dürfen und welche nicht.

Um diese erlaubten Quellen einzustellen, wechseln Sie in der i-Reserve Umgebung in den Konfigurationsmodus. Dort gehen Sie zu System > Security-Einstellungen. Am unteren Ende dieser Seite finden Sie die Einstellungen, die mit der CSP zusammenhängen.

Die Einstellung Content Security Policy (CSP) - Erlaubte Domänen bietet die Möglichkeit, die Quellen einzutragen, die alle Skripte und Inhalte in der Umgebung ausführen und/oder laden dürfen. Wenn es Quellen gibt, die nur bestimmte Skripte und Inhalte ausführen und/oder laden dürfen, können diese zur Option Content Security Policy (CSP) - Standardwerte überschreiben hinzugefügt werden.

Die Einstellung Content Security Policy (CSP) - Erlaubte Widget-Domänen ist eine Einstellung speziell für das Widget von i-Reserve. Bei dieser Einstellung können die Domänen angegeben werden, von denen aus das Widget geladen werden darf.

Warum wir CSP im i-Reserve Reservierungsdialog verwenden

Das Deaktivieren der CSP kann ziemlich risikoreich sein. Die CSP ist nämlich eine der wichtigsten Sicherheitsschichten für moderne Websites. Wenn Sie sie vollständig deaktivieren, sind dies die wesentlichen Folgen:

  1. Deutlich höheres Risiko von XSS-Angriffen (Cross-Site Scripting)

    Die CSP verhindert, dass Angreifer eigenes JavaScript auf Ihrer Website ausführen können. Ohne CSP können Hacker beispielsweise:

    • schädliche Skripte über Eingabefelder einschleusen,
    • Skripte in Widgets von Drittanbietern missbrauchen,
    • Phishing-Pop-ups innerhalb Ihrer Website anzeigen,
    • Cookies oder Tokens auslesen (sofern diese nicht HttpOnly sind).
  2. Schädliche externe Skripte können ohne Weiteres geladen werden

    Die CSP bestimmt, welche Domänen Skripte, Styles, Bilder oder iframes bereitstellen dürfen und welche nicht. Wenn Sie die CSP deaktivieren:

    • können betrügerische Werbeanzeigen oder eingefügte externe Skripte ausgeführt werden,
    • kann jedes Inline-<script> oder jeder Inline-Style ohne Einschränkung laufen,
    • können Tracker von Drittanbietern heimlich eingeschleust werden.
  3. Inline-Skripte und eval() werden wieder zugelassen

    Die CSP blockiert unsichere Konstruktionen wie eval(), Inline-Skripte und Inline-Event-Handler (z. B. onclick="..."). Ohne CSP steigt die Gefahr, dass sich Malware oder unerwünschte Skripte auf diese Weise einnisten.

  4. Wegfall des Schutzes vor Clickjacking

    Viele CSP-Einstellungen enthalten frame-ancestors, womit Sie verhindern, dass Ihre Website in einem iframe geladen wird. Ohne CSP:

    • kann Ihre Website in einer unsicheren externen Umgebung geladen werden,
    • steigt das Risiko von Clickjacking (Besucher klicken auf etwas, das sie nicht sehen).
  5. Schlechtere Erkennung von Angriffen

    Die CSP kann melden, wenn Skripte blockiert werden (report-uri / report-to). Wenn Sie die CSP deaktivieren:

    • verlieren Sie dieses Erkennungs-Logging,
    • sehen Sie nicht mehr, ob Injektionsversuche stattfinden.
  6. Mögliche Probleme mit Compliance oder Sicherheits-Audits

    Einige Branchen (Fintech, Behörden, Gesundheitswesen) verlangen CSP als Teil ihrer Sicherheits-Baseline. Das Deaktivieren kann daher führen zu:

    • nicht bestandenen Pentests,
    • Problemen bei Audits,
    • Nichteinhaltung von Best Practices.

Fazit

Das Deaktivieren der CSP macht Ihre Website deutlich anfälliger für Skript-Injektion, Datendiebstahl, Clickjacking und Missbrauch über externe Skripte. Es ist fast nie notwendig, die CSP vollständig zu deaktivieren. Meistens genügt es, sie korrekt zu konfigurieren.

Bei Umgebungen mit mehreren Lizenzen werden die CSP-Einstellungen pro Lizenz eingestellt.