{"id":318837,"date":"2025-12-01T00:07:47","date_gmt":"2025-11-30T23:07:47","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=318837"},"modified":"2025-11-30T23:08:10","modified_gmt":"2025-11-30T22:08:10","slug":"microsoft-entra-id-blockt-externe-fremd-scripte","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2025\/12\/01\/microsoft-entra-id-blockt-externe-fremd-scripte\/","title":{"rendered":"Microsoft Entra ID blockt externe Fremd-Scripte"},"content":{"rendered":"

\"SicherheitKleiner Nachtrag von letzter Woche, der Administratoren in Unternehmensumgebungen tangieren kann. Microsoft will die Sicherheit der Microsoft Entra ID-Authentifizierung verbessern. Dazu sollen indem externe Skriptinjektionen blockiert werden, wie ein Entwickler in einem Blog-Beitrag im Microsoft Entra-Blog erkl\u00e4rt hat.<\/p>\n

<\/p>\n

Der Beitrag\u00a0Enhance protection of Microsoft Entra ID authentication by blocking external script injection<\/a> vom 25. November 2025 (via<\/a>) erkl\u00e4rt das Ganze. Microsoft aktualisiert dazu die Content Security Policy (CSP) im Rahmen seiner Secure Future Initiative, um Benutzer zus\u00e4tzlich vor aktuellen Sicherheitsrisiken wie Cross-Site-Scripting (XSS) sch\u00fctzen.<\/p>\n

\"Entra<\/a><\/p>\n

Sobald die neue Content Security Policy (CSP) aktiv ist, d\u00fcrfen nur Skripte von vertrauensw\u00fcrdigen Microsoft-Dom\u00e4nen w\u00e4hrend der Authentifizierung unter der URL login.microsoftonline.com<\/em> ausgef\u00fchrt werden. Die Ausf\u00fchrung von nicht autorisiertem oder injiziertem Code w\u00e4hrend der Anmeldung wird dagegen blockiert.<\/p>\n

Das Ganze soll eigentlich bereits seit Mitte Oktober 2025 global umgesetzt werden, obwohl der obige Supportbeitrag erst Ende November 2025 erschienen ist. Microsoft schreibt, dass keine Browsererweiterungen oder Tools, die Code oder Skripte in die Microsoft Entra-Anmeldung einf\u00fcgen, eingesetzt werden sollen. Ohne diese Tools soll sich, nach meiner Lesart, an der Microsoft Entra ID-Authentifizierung nichts \u00e4ndern.<\/p>\n","protected":false},"excerpt":{"rendered":"

Kleiner Nachtrag von letzter Woche, der Administratoren in Unternehmensumgebungen tangieren kann. Microsoft will die Sicherheit der Microsoft Entra ID-Authentifizierung verbessern. Dazu sollen indem externe Skriptinjektionen blockiert werden, wie ein Entwickler in einem Blog-Beitrag im Microsoft Entra-Blog erkl\u00e4rt hat.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[7263,426],"tags":[1171,4328],"class_list":["post-318837","post","type-post","status-publish","format-standard","hentry","category-cloud","category-sicherheit","tag-cloud","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/318837","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=318837"}],"version-history":[{"count":3,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/318837\/revisions"}],"predecessor-version":[{"id":318840,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/318837\/revisions\/318840"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=318837"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=318837"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=318837"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}