HTTP Security Headers

Die beste Website macht die sichere https-Verbindung mit HTTP-Sicherheitsheadern noch sicherer. Verwendet Ihre Website HTTP-Sicherheitsheader für zusätzliche Sicherheit? Verwendet Ihre Website HTTP-Sicherheitsheader, um dem Browser des Besuchers mitzuteilen, welche Sicherheitsmaßnahmen getroffen wurden?

HTTP security headers

Der Besucher betrachtet Ihre Website über einen Browser. Ihr Webserver übermittelt HTML-Seiten an den Browser. Ihr Webserver oder Ihre Website kann auch HTTP-Sicherheitsheader senden, um den Browser über die HTTP-Sicherheit zu informieren. Was kann ein Browser von der Website und dem Server erwarten?

Testen Sie die HTTP-Sicherheitsheader, die zusammen mit den HTTP-Antwort-Headern Ihrer Website über Sicherheitsheader gesendet werden. Es gibt verschiedene Sicherheitsmaßnahmen, die über HTTP-Sicherheitsheader durchgesetzt werden können:

X Content Type Options

Ein Browser kann den Dateityp einer Datei auf der Grundlage ihres Inhalts interpretieren. Mit "X-Content-Type-Options: nosniff" zwingt der Server den Browser, den Inhaltstyp nicht über MIME zu bestimmen. Dadurch wird verhindert, dass Textdateien und Bilder als HTML/JavaScript ausgeführt werden.

X-Content-Type-Options: nosniff

Referrer Policy

Wenn ein Besucher auf Ihrer Website auf einen Hyperlink zu einer anderen Website klickt, kommuniziert der Browser über den "Referrer" im HTTP-Header mit der neuen Website, von der Sie kommen. Eine Website kann dann Webserver-Statistiken verwenden, um zu sehen, woher ihre Besucher kommen. Wenn auf Ihrer Website https läuft und der Link auf eine http-Website verweist, ist dies eine "Herabstufung" der Verbindung für den Besucher. Um die Privatsphäre Ihrer Besucher zu schützen, können Sie den Referrer deaktivieren.

Referrer Policy: no-referrer-when-downgrade

Feature Policy

Die Feature Policy wurde durch die Permissions Policy ersetzt.

Permissions Policy

Mit der Permissions-Policy bestimmen Sie, welche Browser-Funktionen und APIs Sie aktivieren oder deaktivieren möchten. Sie werden mit den Pop-ups von Websites vertraut sein, die nach Ihrem Standort fragen. Sie können Ihre Website dem Browser des Besuchers mitteilen lassen, dass Sie z.B. nicht nach einem Standort (geolocation) fragen.

geolocation
midi
notifications
push
sync-xhr
microphone
camera
magnetometer
gyroscope
speaker
vibrate
fullscreen
payment

permissions-policy: camera=(); geolocation=(); microphone=(); payment=();

Content Security Policy (CSP)

Die Content Security Policy definiert, aus welchen genehmigten Quellen der Browser des Besuchers Dateien laden darf (CSS-Stylesheets, JavaScript-Bibliotheken, Schriftarten). Denken Sie zum Beispiel an externe Google-Schriftarten, JQuery JavaScripts usw.

Sie können wählen, ob Sie alle externen Quellen auf Ihrer eigenen Website platzieren oder ob Sie über den ZDA vereinbaren, welche externen Quellen Sie akzeptieren. Es ist eine wirksame Gegenmaßnahme gegen Cross Site Scripting (XSS)-Angriffe.

content-security-policy: frame-ancestors 'self'

HTTP Strict Transport Security (HSTS)

Durch HTTP Strict Transport Security setzen Sie durch, dass die gesamte Kommunikation zwischen Besucher und Ihrer Website über eine sichere Transportschicht (https) erfolgt. Dies verhindert einen Man-in-the-Middle (MiTM)-Angriff. Über HSTS teilt Ihre Website dem Browser mit, dass Ihre Website in den nächsten x Tagen über https funktionieren wird.

strict-transport-security: max-age=15768000

X Frame Options

Mit dem Header X-Frame-Options schützen Sie Ihre Besucher vor Clickjacking-Angriffen. Bei einem Clickjack-Angriff kann ein Angreifer über einen Iframe einige CSS-Informationen von Ihrem Webbrowser stehlen. Dies kann durch die Definition von X-Frame-Optionen verhindert werden. Sie können dies aber auch über die "Frame-Vorläufer" in der Content Security Policy steuern.

x-frame-options: SAMEORIGIN

Zurück zu: Eine sichere Website