Zum Hauptinhalt springen
Andreas Röne
Andreas Röne
Consultant

Der CSP-Header ist eine Möglichkeit, das sogenannte Cross-Site-Scripting auf der eigenen Website zu unterbinden. Browserhersteller haben diesen Zusatz im HTTP-Header eingeführt, damit Webseiten-Besitzer ihre Seiten und damit auch deren Besucher vor Angriffen Dritter schützen können.

Grob erklärt: Im CSP-Header werden alle Domains angegeben, von denen Inhalte geladen und/oder nachgeladen werden dürfen. Auch andere Kommunikationswege wie XHR- oder Ajax-Verbindungen lassen sich so auf fest definierte Domains eingrenzen.

So weit so gut, aber als alter SEO-Hase habe ich mir natürlich die Frage gestellt, inwieweit ein CSP-Header Einfluss auf das Thema SEO einer Website haben kann. Nach meinen ersten Gedankengängen und Coding-Tests zeigte sich aber schon sehr schnell, dass es total sinnvoll ist, einen CSP-Header auf seiner Website zu integrieren. Wenn man das tut, sollte dieser auch:

  1. Korrekt ohne Fehler integriert sein

  2. Nur die wirklich benötigten Domains beinhalten

  3. Immer auf einem aktuellen Stand gehalten werden

Ein Monitoring des CSP-Headers wäre dann noch die Kirsche auf der Sahnetorte, damit Du auch informiert wirst, wenn sich etwas gewollt oder ungewollt an Deinem Header ändert.

Wo fügt man diesen Header den jetzt am besten ein?

Viele Wege führen bekanntlich nach Rom und genauso ist es auch bei dem Header.

  • Du könntest ihn als Teil des HTML-Headers in jeder HTML-Seite einzeln einbauen. Das wäre jedoch sehr mühsam und ggf. auch fehleranfällig.

  • Die zweite Möglichkeit: das Einfügen eines HTTP-Header-Eintrags via Scriptsprache (z.B. PHP) oder Deinem CMS wie Wordpress & Co.

  • Die aber wohl sicherste und effektivste Art, einen CSP-Header zu integrieren, läuft über die Server-Konfiguration Deines Webservers. Bei einem Apache-Webserver könntest Du dazu z.B. die Konfiguration über Deine .htaccess-Datei vornehmen.

Und wieso ist das nun für SEO wichtig?

Für das Thema SEO ist der Header nur indirekt wichtig. Für Deine Webseitenbesucher solltest Du diesen natürlich einrichten und für den normalen Bot einer Suchmaschine ist dieser Header auch nicht wirklich wichtig. Außer dass Bots mit dieser Angabe den gelesenen Quellcode überprüfen könnten, um zu entscheiden, ob eine Website infiltriert wurde oder nicht. Entscheidend wird es aber beim Rendern einer HTML-Seite durch Google. Beim Rendern wird Google den CSP-Header berücksichtigen und sollten wichtige Assets wie CSS-Dateien oder Javascripte von Domains geladen werden, die in dem Header ausgeschlossen wurden, dann werden Inhalte ggf. nicht korrekt dargestellt oder fehlen komplett. Auf der anderen Seite signalisieren wir Google sogar, dass ggf. potenziell gefährliche Inhalte geladen werden sollen.

Fazit

Die Angabe eines CSP-Headers ist total sinnvoll. Allerdings solltest Du dabei – genauso wie beim Ausschluss von benötigten Assets mit Hilfe der robots.txt-Datei – die Angaben im CSP-Header genau überprüfen und testen, ob Deine Inhalte wirklich korrekt geladen werden.

Andreas Röne
Andreas Röne

Consultant

Weitere Artikel von Andreas Röne
Alle Artikel aus Newsletter #99 „🎲  Just a SEO-Easter-Puppet on a row of rankings"
Wir haben auch für Dich geschrieben:
Weitere Artikel von Andreas Röne
Alle Artikel aus Newsletter #99 „🎲  Just a SEO-Easter-Puppet on a row of rankings"
Wir haben auch für Dich geschrieben:
Das ist ein Artikel aus unserem Newsletter. Wenn Du jeden Dienstag Morgen schlauer werden möchtest, melde jetzt kostenfrei für den SEO-Newsletter an

Kurze, praxisnahe SEO-Tipps – maximal 1× pro Woche. Keine Werbung, kein Spam.

Deine Daten sind bei uns in guten Händen und werden ausschließlich für diesen Newsletter genutzt.
  1. Du bist hier:
  2. 🏠
  3. Wissen
  4. Newsletter
  5. Archiv