Ich checke die Websites meiner Kunden gerade für die DSGVO auf ihre technische Sicherheit. Was auf allen Websites richtig schlecht ist, sind die HTTP Header. SIWECOS* empfiehlt folgende Einstellungen für die .htaccess Datei:
#START HTTP Security Header #Content Security Policy - CSP-HEADER # Lade Inhalte nur von Seiten die explizit erlaubt sind # Beispiel: Alles von der eigenen Domain erlauben, keine Externas: Header set Content-Security-Policy "default-src 'none'; frame-src 'self'; font-src 'self'; img-src 'self'; object-src 'self'; script-src 'self'; style-src 'self';" #HTTP Content-Types AddCharset UTF-8 .html #Public Key Pins Header set Public-Key-Pins "pin-sha256=\"base64+primary==\"; pin-sha256=\"base64+backup==\"; max-age=5184000; includeSubDomains" #Strict-Transport-Security Header set Strict-Transport-Security "max-age=31536000; includeSubDomains" #X-Content-Type-Options Header always set X-Content-Type-Options "nosniff" #X-Frame-Options Header always set X-Frame-Options "SAMEORIGIN" #X-Xss-Protection Header always set X-Xss-Protection "1; mode=block" #Referrer-Policy Header set Referrer-Policy "strict-origin" #END HTTP Security Header
Aufpassen bei dem ersten Block (CSP-Header)! Den müsst ihr anpassen oder raus nehmen, sonst funktioniert eure Website nicht mehr. Unter diesem Link könnt ihr euren CSP-Header generieren: https://report-uri.com/home/generate
Am besten diese Vorlage so lange anpassen und bei SIWECOS testen, bis es passt.
*SIWECOS ist ein kostenloser Dienst zum Website-Monitoring und sehr zu empfehlen. Weitere Infos unter https://siwecos.de
Eine Antwort
Toller Beitrag, HTTP Header werden in der IT-Sicherheit extrem unterschätzt und sollten eigentlich bei jedem Webprojekt geprüft werden.
Hier findet meines Erachtens immer die größte Manipulation beim Nutzer statt, aber die wenigsten Unternehmen schützen ausreichend.