Hoe (en waarom) stel ik de Content Security Policy (CSP) in?

In de i-Reserve omgeving is het mogelijk om een Content Security Policy (CSP) in te stellen. Een CSP is een extra beveiligingslaag die helpt voorkomen dat kwaadwillende scripts en ongewenste content uitgevoerd worden op de i-Reserve omgeving. De CSP vertelt de browser welke bronnen van content (zoals scripts, stylesheets, afbeeldingen en video's) wel of juist niet geladen en uitgevoerd mogen worden.

Om deze toegestane bronnen in te stellen, ga je in de i-Reserve omgeving naar de configuratie modus. Hier ga je naar Systeem > Security instellingen. Onderaan deze pagina vind je de instellingen die te maken hebben met de CSP.

De instelling Content Security Policy (CSP) - Toegestane domeinen geeft de mogelijkheid om de bronnen in te vullen die alle scripts en content uit mogen voeren en/of laden bij de omgeving. Als er bronnen zijn die alleen specifieke scripts en content uit mogen voeren en/of laden, kunnen deze toegevoegd worden aan de optie Content Security Policy (CSP) - Overschrijven standaard waardes.

De instelling Content Security Policy (CSP) - Toegestane widget domeinen is een instelling die speciaal voor de widget van i-Reserve is. Bij deze instelling kunnen de domeinen opgegeven worden vanwaar de widget mag worden geladen.

Waarom wij CSP in de i-Reserve reserveringsdialoog gebruiken

Het uitschakelen van CSP kan behoorlijk risicovol zijn. CSP is namelijk één van de belangrijkste beveiligingslagen voor moderne websites. Als je het volledig uitschakelt, zijn dit de voornaamste gevolgen:

1. Veel grotere kans op XSS-aanvallen (Cross-Site Scripting)

   CSP voorkomt dat kwaadwilligen eigen JavaScript op jouw site kunnen uitvoeren. Zonder CSP kunnen hackers bijvoorbeeld:

   • kwaadaardige scripts injecteren via invoervelden,
   • scripts in third-party widgets misbruiken,
   • phishing pop-ups tonen binnen jouw site,
   • cookies of tokens uitlezen (als ze niet HttpOnly zijn).

2. Schadelijke externe scripts kunnen zomaar geladen worden

   CSP bepaalt welke domeinen wel of niet scripts, styles, afbeeldingen of iframes mogen leveren. Als je CSP uitschakelt:

   • kunnen malafide advertenties of ingevoegde externe scripts worden uitgevoerd,
   • kan elke inline <script> of style zonder beperking draaien,
   • kunnen third-party trackers stiekem worden geïnjecteerd.

3. Inline scripts en eval() worden weer toegestaan

   CSP blokkeert onveilige constructies zoals eval(), inline scripts en inline event handlers (vb. onclick="..."). Zonder CSP neemt de kans toe dat malware of ongewenste scripts zich op die manier nestelen.

4. Vervallen van bescherming tegen clickjacking

   Veel CSP-instellingen bevatten frame-ancestors, waarmee je voorkomt dat je site in een iframe wordt ingeladen. Zonder CSP:

   • kan je site in een onveilige externe omgeving worden ingeladen,
   • neemt het risico op clickjacking toe (bezoekers klikken op iets dat ze niet zien).

5. Slechtere detectie van aanvallen

   CSP kan rapporteren wanneer scripts worden geblokkeerd (report-uri / report-to). Als je CSP uitschakelt:

   • verlies je deze detectielogging,
   • zie je niet meer of er injectie-pogingen plaatsvinden.

6. Mogelijk problemen met compliance of security-audits

   Sommige sectoren (fintech, overheid, zorg) vereisen CSP als onderdeel van hun security baseline. Het uitschakelen kan dus leiden tot:

   • afgekeurde pentests,
   • problemen bij audits,
   • niet voldoen aan best practices.

Conclusie

CSP uitschakelen maakt je website veel kwetsbaarder voor scriptinjectie, datadiefstal, clickjacking en misbruik via externe scripts. Het is bijna nooit nodig om CSP volledig uit te zetten. Meestal volstaat het om hem correct te configureren.