Hallo Bimmelbeule,

gegen XSS und Data-Injection schützt man sich am besten durch korrekte Kontextbehandlung am Server. Dadurch kann ein böser Angreifer gar nicht erst toxischen Müll auf deine Seite bringen. Wenn er überhaupt bis dahin vordringen will und nicht gleich deinen Server kapert.

Eine CSP ist sozusagen die zweite Verteidigungslinie, falls doch was schief geht. Die muss aber auch nicht zwingend in einem meta-Element stehen, die kann auch vom Server in einem Header kommen.

Ob man sich bei einer https Verbindung Sorgen um eine Man-in-the-Middle Attacke machen muss, die böses Script ins HTML einschiebt, glaube ich eher nicht.

Ich meine, dass eine CSP auch verhindert, dass jemand Bookmarklets auf deiner Seite anwendet, die ein Script-Element ergänzen und damit deine eigene Logik verändern könnten.

Rolf