Tips, Anleitungen, Arbeitsabläufe, Inspiration, News und Trends

HTTP Security Header für die .htaccess Datei

HTTP Header über htaccess einstellen

Ich checke die Websites meiner Kunden gerade für die DSGVO auf ihre technische Sicherheit. Was auf allen Websites richtig schlecht ist, sind die HTTP Header. SIWECOS* empfiehlt folgende Einstellungen für die .htaccess Datei:

#START HTTP Security Header

#Content Security Policy - CSP-HEADER
# Lade Inhalte nur von Seiten die explizit erlaubt sind
# Beispiel: Alles von der eigenen Domain erlauben, keine Externas:
Header set Content-Security-Policy "default-src 'none'; frame-src 'self'; font-src 'self'; img-src 'self'; object-src 'self'; script-src 'self'; style-src 'self';"

#HTTP Content-Types
AddCharset UTF-8 .html

#Public Key Pins
Header set Public-Key-Pins "pin-sha256=\"base64+primary==\"; pin-sha256=\"base64+backup==\"; max-age=5184000; includeSubDomains"

#Strict-Transport-Security
Header set Strict-Transport-Security "max-age=31536000; includeSubDomains"

#X-Content-Type-Options
Header always set X-Content-Type-Options "nosniff"

#X-Frame-Options
Header always set X-Frame-Options "SAMEORIGIN"

#X-Xss-Protection
Header always set X-Xss-Protection "1; mode=block"

#Referrer-Policy
Header set Referrer-Policy "strict-origin"

#END HTTP Security Header

Aufpassen bei dem ersten Block (CSP-Header)! Den müsst ihr anpassen oder raus nehmen, sonst funktioniert eure Website nicht mehr. Unter diesem Link könnt ihr euren CSP-Header generieren: https://report-uri.com/home/generate

Am besten diese Vorlage so lange anpassen und bei SIWECOS testen, bis es passt.


*SIWECOS ist ein kostenloser Dienst zum Website-Monitoring und sehr zu empfehlen. Weitere Infos unter https://siwecos.de

Feedback willkommen

War dieser Beitrag hilfreich?

1 Stern2 Sterne3 Sterne4 Sterne5 Sterne (3 Stimme(n), Durchschnitt: 4,67 von 5)
Loading...

Teile diesen Beitrag.

Bereits 1 Mal geteilt!

Eine Antwort

  1. Toller Beitrag, HTTP Header werden in der IT-Sicherheit extrem unterschätzt und sollten eigentlich bei jedem Webprojekt geprüft werden.
    Hier findet meines Erachtens immer die größte Manipulation beim Nutzer statt, aber die wenigsten Unternehmen schützen ausreichend.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Diese Beiträge interessieren dich vielleicht auch

Google Fonts selbst hosten
für Webdesigner

Google Fonts selbst hosten

Hier erfährst du, wie du ganz einfach Google Fonts selbst hosten kannst. Diese beiden Tools nutze ich, um Google Webfonts schnell und einfach auf den eigenen Server zu holen.

Mehr erfahren »