Magento E-Commerce en Vtiger CRM Specialist

Hoe kunnen we helpen?

Inhoud

Wat is Content Security Policy (CSP)?

Je bent hier:

En waarom moet je er iets mee doen in je webshop of CRM?

Content Security Policy (CSP) is een manier om je website extra te beveiligen. Het vertelt je browser welke onderdelen van een webpagina wél en níet geladen mogen worden. Zo voorkom je dat hackers schadelijke scripts op je site laten draaien.

Een voorbeeld:

  • Stel dat iemand probeert een nepformulier op je site te zetten om gegevens van klanten te stelen. Met CSP kun je ervoor zorgen dat de browser zulke “foute scripts” gewoon blokkeert.

Waarom is CSP belangrijk?

  • Beschermt tegen cross-site scripting (XSS) – een veelvoorkomende aanval waarbij kwaadwillenden code injecteren op je site.
  • Helpt om te bepalen welke scripts en bronnen veilig zijn (zoals Google Tag Manager of beoordelingswidgets zoals Kiyoh).
  • Voorkomt dat onverwachte of ongewenste scripts op je site worden uitgevoerd.

Je kunt CSP op twee manieren gebruiken:

1. Report-Only (alleen meekijken)

In deze stand kijkt de browser wat er gebeurt, maar grijpt niet in.
Fijn als je eerst wilt testen zonder dat er meteen iets stukgaat.

2. Restrict-modus (blokkeer gevaarlijke scripts)

In deze stand grijpt CSP wél in. Alles wat niet op de “goedgekeurde lijst” staat, wordt geblokkeerd.
Let op: bekende diensten zoals Google Tag Manager of je review-widget werken dan alleen als je ze expliciet goedkeurt.

Wat moet je goedkeuren?

Externe bronnen (zoals Google of Kiyoh)

Als je externe diensten gebruikt (zoals een statistiekenscript van Google of een formulier van een andere partij), moet je dat domein op een zogeheten whitelist zetten. Dan weet de browser: “Dit is oké.”

Inline scripts

Soms staat er op je site losse JavaScript-code in de pagina zelf, bijvoorbeeld vanuit een module of maatwerkfunctie.
Deze worden in restrictieve CSP meestal geblokkeerd, tenzij je ze goedkeurt met een:

  • Hash – een soort digitale handtekening van het script
  • Nonce – een unieke, tijdelijke code die je per pagina meegeeft

Beide technieken zorgen ervoor dat je browser weet: “Dit script is veilig.”

Hoe begin je met CSP?

  1. Begin in Report-Only – dan zie je wat er mogelijk fout gaat, maar niets breekt nog.
  2. Bekijk de foutmeldingen – welke scripts worden geblokkeerd?
  3. Voeg veilige scripts toe aan de whitelist (zoals je vertrouwde tools of modules).
  4. Zet CSP daarna op actief (Restrict-modus) – nu is je site echt beter beschermd.
  5. Blijf nieuwe scripts controleren – bij elke toevoeging moet je checken of CSP het toelaat.

Veelgemaakte fouten

  • Je zet CSP aan zonder eerst te testen → scripts vallen weg en functies werken niet meer.
  • Je vergeet vertrouwde externe bronnen toe te voegen → je analytics of chat werkt niet.
  • Je site gebruikt veel inline code → die moet je goedkeuren met een hash of nonce.

Wat levert CSP je op?

  1. Betere beveiliging
  2. Minder risico op gehackte formulieren of scripts
  3. Controle over wát er precies op je site draait

Samengevat:

CSP is als een strenge portier voor je website.
Hij laat alleen naar binnen wat jij op de gastenlijst zet. En als iemand iets verdachts probeert? Dan grijpt hij in – of waarschuwt je eerst.

Wil je Content Security Policy gebruiken, maar weet je niet hoe?

Vicus helpt je met advies én implementatie. Neem contact op als je veilig wilt starten met CSP!

Gemaakt op
Laatst aangepast op
doorLuuk Roovers
Tags:

Vicus eBusiness Solutions B.V.

Vanadiumweg 22
3812 PZ Amersfoort
Nederland

[javascript protected email address]
+31(0)33 461 1196

Magento Adobe bronze partner logo

Schrijf je in voor onze nieuwsbrief!

Ja, ik wil e-mail van Vicus ontvangen