HTTP-Sicherheits-Header, die du haben solltest
Einige gut gesetzte Header stoppen gängige Angriffe und verbessern deine Bewertung in jedem Web-Audit.
Dein Webserver kann Header senden, die dem Browser sagen, wie er sich sicher verhalten soll. Sie sind kostenlos und du konfigurierst sie einmal.
Die wichtigsten
Strict-Transport-Security(HSTS): erzwingt immer HTTPS.Content-Security-Policy(CSP): steuert, von wo Skripte, Stile usw. geladen werden. Es ist das mächtigste Mittel gegen XSS (und das am schwersten zu justierende).X-Content-Type-Options: nosniff: verhindert, dass der Browser Dateitypen „errät".Referrer-Policy: begrenzt, welche Herkunftsinformationen beim Surfen nach außen dringen.X-Frame-Options/ CSP frame-ancestors: verhindert, dass deine Seite in einem iframe eingebettet wird (Clickjacking).
Wie man es prüft
Tools wie securityheaders.com geben dir eine schnelle Note. Für die TLS-Prüfung SSL Labs. Beginne mit HSTS und nosniff (einfach) und hebe dir CSP für den Moment auf, in dem du es testen kannst, ohne die Seite zu zerstören.
Kein Header ersetzt sicheren Code, aber sie sind eine günstige Schicht, die es sich zu haben lohnt.
#web#http#sicherheit#header