Content-Security-Policy
Prüft CSP-Header der Script-Quellen einschränkt — wichtiger XSS-Schutz.
Was dieser Check misst
Wir lesen den `Content-Security-Policy`-Header und prüfen Einschränkung von script-src, style-src und frame-ancestors. Fehlend oder `unsafe-inline` wird geflaggt.
Warum es wichtig ist
CSP ist der Browser-XSS-Schutz. Ohne ihn läuft jede XSS-Schwachstelle frei. Mit enger CSP werden injizierte Scripts blockiert selbst wenn sie ins DOM kommen. Moderne Banking/SaaS-Apps shippen CSP.
Wie unser Audit es erkennt
Content-Security-Policy-Header parsen. script-src-Einschränkung, unsafe-inline/unsafe-eval prüfen. Auch frame-ancestors.
Typische Findings
- error_outlineKein CSP-Header.
- error_outlineCSP mit unsafe-inline — Sinn untergraben.
- error_outlineframe-ancestors fehlt — kein Clickjacking-Schutz.
- error_outlineCSP mit Wildcards (*) — erlaubt alles.
So behebst du es
Mit `Content-Security-Policy-Report-Only` eine Woche starten, um Violations ohne Breakage zu sehen. Dann `script-src 'self' https://trusted.com; style-src 'self' 'unsafe-inline'; frame-ancestors 'none';` und enforce.
Copy-Paste Fix-Prompt für deinen Stack
Lovable · Cursor · Bolt · v0 · Replit · Windsurf · Claude Code · Base44
Häufige Fragen
Wird CSP die Site brechen?expand_more
Soll das auf deiner Site geprüft werden?
Pantra läuft den vollen Audit (SEO, Sicherheit, GEO, Performance, Schema, Technik, Bilder) in 10 Sekunden und generiert stack-spezifische Fix-Prompts.
Site scannenÄhnliche Checks
HTTPS aktiv
Prüft ob die Site über HTTPS ausliefert und HTTP auf HTTPS redirected.
SicherheitTLS-Version
Prüft dass der Server TLS 1.2 oder höher nutzt — ältere Versionen sind kaputt.
SicherheitMixed Content
Prüft HTTP-Ressourcen auf HTTPS-Seiten — Browser blockieren oder warnen.
SicherheitSSL-Zertifikat
Prüft dass das SSL-Zertifikat gültig, nicht abgelaufen und nicht bald ablaufend ist.