Content Security Policy (CSP) is een beveiligingslaag die je als website-eigenaar instelt via HTTP-headers. Het mechanisme bepaalt welke bronnen je browser mag laden: scripts, stylesheets, afbeeldingen, fonts en externe content. Door expliciet te definiëren welke domeinen en protocollen toegestaan zijn, blokkeer je ongewenste code-injectie. CSP voorkomt dat aanvallers kwaadaardige scripts in je pagina's injecteren, zelfs als er een kwetsbaarheid in je code zit. Voor MKB-bedrijven met een webshop, klantportaal of formulieren is dit een praktische verdedigingslinie tegen Cross-Site Scripting en datadiefstal.
Hoe Content Security Policy werkt in de praktijk
Je configureert CSP door een header mee te sturen met elke pagina die je server verstuurt. Die header bevat directives: instructies per type bron. De directive script-src 'self' https://cdn.example.com staat bijvoorbeeld alleen scripts van je eigen domein en dat specifieke CDN toe. Probeert een aanvaller een script van een ander domein te laden, dan blokkeert de browser dat en stuurt een melding naar je console. Je kunt CSP stapsgewijs invoeren: begin met een report-only modus die overtredingen logt zonder te blokkeren, analyseer de rapporten en verscherp daarna de regels. Moderne browsers zoals Chrome, Firefox, Safari en Edge ondersteunen CSP volledig. Volgens W3C Content Security Policy Level 3 is de standaard sinds 2018 stabiel en breed geïmplementeerd.
Waarom Content Security Policy nu relevant is voor Nederlandse websites
Cross-site scripting blijft een van de meest voorkomende aanvalsvectoren. Een webshop met duizenden productpagina's of een platform met gebruikersreviews biedt veel invoerpunten. Zelfs bij zorgvuldig programmeren kan een vergeten validatie of een kwetsbare plugin een lek openen. CSP fungeert als vangnet: ook al slaagt een aanvaller erin code in je HTML te krijgen, de browser weigert die uit te voeren als het niet van een toegestane bron komt. Daarnaast eist de Autoriteit Persoonsgegevens passende technische maatregelen bij verwerking van persoonsgegevens. CSP helpt aantonen dat je proactief beveiligt, wat relevant is bij audits of datalekken.
Wat Content Security Policy oplevert voor webshops en platforms
Voor een MKB-webshop met betalingsverkeer betekent CSP dat creditcardgegevens of klantdata niet door malafide scripts kunnen worden onderschept. Bij een B2B-portaal met inlogfuncties bescherm je sessietokens tegen diefstal. In de praktijk zien we bij klanten van Monkey Vision dat een goed geconfigureerd CSP-beleid ook helpt bij het opschonen van oude tracking-scripts en widgets die niet meer nodig zijn. Je krijgt inzicht in welke externe diensten je site daadwerkelijk gebruikt. Wil je weten hoe CSP past in een bredere beveiligingsstrategie voor je website? Bekijk onze webontwikkeling waarin we security by design toepassen, inclusief CSP-configuratie en monitoring.