Content Security Policy (CSP) is een security header die definieert welke bronnen (scripts, styles, images, fonts) de browser mag laden op je pagina. Het is primair een beveiligingsmaatregel tegen XSS-aanvallen (cross-site scripting), maar raakt indirect SEO doordat een verkeerd geconfigureerde CSP kritieke resources kan blokkeren.
Wat is CSP?
CSP werkt via een HTTP-header of meta-tag die per resource-type specificeert welke origins zijn toegestaan:
Content-Security-Policy: default-src 'self'; script-src 'self' https://www.googletagmanager.com; style-src 'self' 'unsafe-inline'; img-src 'self' data: https:
| Directive | Controleert |
|---|---|
default-src | Fallback voor alle types |
script-src | JavaScript bronnen |
style-src | CSS bronnen |
img-src | Afbeeldingsbronnen |
font-src | Font-bronnen |
connect-src | API-calls, websockets |
Waarom belangrijk
Een te strikte CSP kan SEO-kritieke resources blokkeren: Google Tag Manager, analytics scripts, externe fonts (die CLS veroorzaken als ze niet laden), en third-party widgets. Een te soepele CSP biedt geen bescherming tegen gehackte sites met spam-injecties — die Google bestraft.
CSP is geen rankingfactor. Maar een gehackte site die spam injecteert, krijgt een manual action van Google. CSP is preventie.
Voorbeeld
Begin met report-only mode om te testen zonder te blokkeren:
Content-Security-Policy-Report-Only: default-src 'self'; report-uri /csp-report
Analyseer de rapporten, verfijn je policy, en schakel dan over naar enforcement:
Content-Security-Policy: default-src 'self'; script-src 'self' https://www.googletagmanager.com; upgrade-insecure-requests
Gerelateerd
- HTTPS, security headers en SEO
- Gerelateerde termen: HSTS, HTTPS, Mixed content