19 november 2024
Door Jan-Fokko Stuut
E-commerce specialist & UX designer
Vanaf april 2025 wordt de implementatie van een Content Security Policy (CSP) verplicht voor alle Magento webshops. Adobe had CSP al in versie 2.3.5 geïntroduceerd voor Magento. Nu zal deze belangrijke maatregel dus niet meer optioneel zijn. CSP verbetert je Magento webshop beveiliging, maar vereist wel voorbereidingen van jou als webshopeigenaar om dit goed in te stellen.
Het is namelijk niet alleen een kwestie van even een toggle switch omzetten en je bent klaar. In deze blog bespreken we wat CSP is, waarom het belangrijk is, hoe je het implementeert en wat de impact ervan zal zijn op jouw webshop.
Content Security Policy (CSP) is een webbeveiligingsstandaard ontworpen om het risico op veelvoorkomende aanvallen, zoals Cross-Site Scripting (XSS) en Data Injection, te verminderen. Het werkt door aan te geven welke bronnen (bijvoorbeeld scripts, stylesheets en afbeeldingen) een website mag laden.
Met een correct geïmplementeerde CSP kun je voorkomen dat kwaadaardige code wordt uitgevoerd, zelfs als een aanvaller erin slaagt een kwetsbaarheid in jouw webshop te misbruiken.
Webshops zijn een primair doelwit voor criminelen vanwege de hoeveelheid gevoelige klantgegevens, zoals betaalinformatie en persoonlijke gegevens. Door CSP verplicht te maken, wil men een extra beveiligingslaag toevoegen om zowel de eigenaren van webshops als hun klanten te beschermen.
Een CSP minimaliseert de kans dat klantgegevens worden onderschept of misbruikt. Dit is van cruciaal belang in een tijd waarin datalekken een grote impact kunnen hebben op de reputatie en het vertrouwen van klanten.
De invoering van CSP sluit aan bij strengere regels rondom gegevensbescherming, zoals de AVG (GDPR). Als webshop moet je niet alleen technisch compliant zijn, maar ook juridisch.
Magento biedt al ondersteuning voor CSP, maar deze is in veel Magento webshops nog niet geactiveerd. Zoals al aangegeven is dit vanaf april 2025 niet langer optioneel. Als Magento-gebruiker moet je:
Het implementeren van een CSP in een Magento-webshop is een technisch verhaal, maar goed te doen als je maar de juiste stappen volgt. Zie hieronder een globaal overzicht van wat je moet doen om een CSP in te stellen:
Magento maakt gebruik van een configuratiebestand genaamd CSP_whitelist.xml
. Dit bestand bepaalt welke bronnen jouw website mag laden.
Voorbeelden van veelgebruikte policies zijn:
script-src
: Beheert welke scripts jouw webshop mag laden.style-src
: Beheert welke CSS-stijlen zijn toegestaan.img-src
: Specificeert waar afbeeldingen mogen worden geladen.frame-src
: bepaalt welke externe URL's of bronnen in <iframe>
-elementen mogen worden geladen.connect-src:
bepaalt welke externe endpoints de webshop mag benaderen voor dataverzoeken. Dit omvat API-calls, WebSocket-connecties en AJAX-verzoeken.Begin met het instellen van CSP in de zogenaamde report-only modus. Hierdoor worden overtredingen geregistreerd zonder dat ze daadwerkelijk iets blokkeren. Dit helpt om fouten in je configuratie op te sporen zonder direct impact te hebben op de functionaliteit van je webshop.
Vanaf 1 april 2025 kan je geen 'report only' meer draaien, dus zorg dat je het voor die tijd getest hebt.
Gebruik tools zoals Google Chrome Developer Tools of online CSP-analyzers om CSP-overtredingen te identificeren.
Je kunt ook de Magento specifieke tool van Sansec gebruiken om te zien welke externe assets er geladen worden voor jouw Magento webshop.
Controleer scripts en bronnen die mogelijk niet goedgekeurd zijn.
Pas je CSP_whitelist.xml
aan om de juiste regels toe te voegen. Schakel vervolgens over van de report-only modus naar een volledig actieve CSP.
Voordat je CSP live zet, is het cruciaal om je webshop te testen, want je kan de CSP module niet meer uitzetten zodra je niet meer op "report-only" modus draait. Dus controleer:
Hoewel CSP essentieel is voor de beveiliging, brengt het ook uitdagingen met zich mee:
Een goed ingestelde CSP biedt verschillende voordelen:
Hier zijn enkele praktische tips om je voor te bereiden:
De invoering van een Content Security Policy (CSP) voor april 2025 is een belangrijke stap om de beveiliging van jouw Magento webshop te verbeteren. Het goed opzetten van een CSP kost tijd, dus wacht er niet te lang mee. Het is niet alleen een wettelijke verplichting, maar veiligheid is ook essentieel voor klantvertrouwen, wat aan de basis ligt van iedere succesvolle webshop.
Neem contact met ons op voor meer infomatie, of plan hier direct een afspraak in voor een vrijblijvend adviesgesprek!
Jan-Fokko Stuut (E-commerce specialist & UX designer)
19 november 2024
Jan-Fokko Stuut, sinds 2018 gecertificeerd Scrum Master en Product Owner, daarnaast UX designer met een oog voor positieve en efficiënte gebruikservaring. Met een blik van buiten geeft hij waardevolle inzichten en past hij zijn kennis en ervaring toe op de wereld van e-commerce.