Wat is een Content Security Policy (CSP) en waarom heeft jouw website het nodig?

04-04-2026
Wat is een Content Security Policy (CSP) en waarom heeft jouw website het nodig?

Je hebt een SSL-certificaat (het groene slotje) en je software is up-to-date. Je denkt dat je website veilig is. Maar wat als een hacker kwaadaardige scripts in je formulieren injecteert om gegevens van je klanten te stelen? Dat is waar de Content Security Policy (CSP) in beeld komt: de uitsmijter van je website.

De digitale uitsmijter

Een Content Security Policy is een extra beveiligingslaag die je toevoegt aan de HTTP-header van je website. Je kunt het vergelijken met een gastenlijst bij een exclusieve club.

Zonder CSP mag elk script op je website draaien. Met een CSP vertel je de browser van de bezoeker precies welke bronnen (zoals scripts, afbeeldingen of lettertypen) vertrouwd zijn. Probeert een onbekend script van een externe server zichzelf te laden? Dan blokkeert de browser dit onmiddellijk.

Waarom is een CSP cruciaal?

1. Bescherming tegen XSS-aanvallen

Cross-Site Scripting (XSS) is een van de meest voorkomende hacks. Hierbij injecteert een hacker code in jouw site om bijvoorbeeld wachtwoorden of kredietkaartgegevens te stelen. Een goede CSP blokkeert de uitvoering van deze ongeautoriseerde scripts.

2. Voorkomen van Data Exfiltratie

Als je site per ongeluk besmet is met malware, kan die malware proberen gegevens naar een server van de hacker te sturen. Een CSP kan bepalen dat data alleen naar jouw eigen server of vertrouwde partners (zoals Google Analytics) verstuurd mag worden.

3. Vertrouwen van de browser

Moderne browsers zoals Chrome en Firefox herkennen een sterke CSP. Het draagt bij aan de algehele veiligheidsscore van je domein, wat indirect ook positief is voor je professionele reputatie.

Hoe stel je het in?

Het instellen van een CSP is precisiewerk. Als je het te streng instelt, stoppen handige tools zoals Google Maps of je chatwidget met werken. Stel je het te los in, dan heeft het geen nut.

Meestal ziet een policy er ongeveer zo uit:

Content-Security-Policy: default-src 'self'; script-src 'self' https://trustedscripts.com;

Dit vertelt de browser: "Accepteer alleen content van mijn eigen site en van deze specifieke vertrouwde bron."

Conclusie

Een Content Security Policy is geen luxe, maar een noodzaak voor elke serieuze onderneming die de privacy van haar bezoekers waarborgt. Het is de onzichtbare muur die het verschil maakt tussen een veilige site en een datalek.

Kiyoh

9.9

gebaseerd op 463 beoordelingen

Beoordeel >

Mediawax werkt met o.a.

Installatron Partner Imunify 360 Secured PHP 8 op alle servers Kernelcare Sectio ssl-certificaten Gratis Let's Encrtypt certificaten