Echtes Insider-Wissen ohne Werbung und Gastbeiträge
HTTP Header über htaccess einstellen

HTTP Security Header für die .htaccess Datei

Inhaltsangabe

Als ich 2018 die Websites meiner Kunden für die DSGVO auf technische Sicherheit geprüft habe, war ein Wert auf allen Websites richtig schlecht: der für die HTTP Security Header.

Copy & Paste Snippet für die .htaccess Datei

SIWECOS* empfiehlt folgende Einstellungen für die .htaccess Datei:

				
					#START HTTP Security Header

#Content Security Policy - CSP-HEADER
# Lade Inhalte nur von Seiten die explizit erlaubt sind
# Beispiel: Alles von der eigenen Domain erlauben, keine Externas:
Header set Content-Security-Policy "frame-ancestors 'self'; base-uri 'self'; default-src 'none'; form-action 'self'; img-src 'self' https://julia-vicentini.de data:; font-src 'self' data:; object-src 'none'; script-src 'self' '; style-src 'self';"

#HTTP Content-Types
AddCharset UTF-8 .html

#Public Key Pins
Header set Public-Key-Pins "pin-sha256=\"base64+primary==\"; pin-sha256=\"base64+backup==\"; max-age=5184000; includeSubDomains"

#Strict-Transport-Security
Header set Strict-Transport-Security "max-age=31536000; includeSubDomains"

#X-Content-Type-Options
Header always set X-Content-Type-Options "nosniff"

#X-Frame-Options
Header always set X-Frame-Options "SAMEORIGIN"

#X-Xss-Protection
Header always set X-Xss-Protection "1; mode=block"

#Referrer-Policy
Header set Referrer-Policy "no-referrer"

#END HTTP Security Header
				
			

Aufpassen bei dem ersten Block (CSP-Header)! Du musst meine Domain gegen deine austauschen! Wenn deine Website nicht mehr funktioniert, nimm den CSP Header raus oder passe ihn weiter an. Unter diesem Link kannst du deinen CSP-Header generieren: https://report-uri.com/home/generate

Am besten diese Vorlage so lange anpassen und bei SIWECOS oder Webbkoll testen, bis es passt.

webbkoll csp http security header webdesign flensburg
Juhuu! Geschafft!

Security Header Tipp für WordPress Websites

Der CSP Header wird dein WordPress Backup lahm legen. Ich nutze das Plugin NinjaFirewall. Unter Firewall Policies –> Advanced Policies kannst du deine HTTP Security Header setzen. Und auch sehr komfortabel unterschiedliche CSP Header für Frontend und Backend einfügen und an- und ausschalten. Ich habe bisher noch keinen CSP Header gefunden, der das WordPress Backend nicht stört. Deshalb schalte ich die Header aus, wenn ich an der Website arbeiten will. Danach schalte ich sie wieder ein.


*SIWECOS ist ein kostenloser Dienst zum Website-Monitoring und sehr zu empfehlen. Weitere Infos unter https://siwecos.de

Kommentare

3 Responses

  1. Toller Beitrag, HTTP Header werden in der IT-Sicherheit extrem unterschätzt und sollten eigentlich bei jedem Webprojekt geprüft werden.
    Hier findet meines Erachtens immer die größte Manipulation beim Nutzer statt, aber die wenigsten Unternehmen schützen ausreichend.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Beiträge zu ähnlichen Themen

Newsletter abonnieren

Wenn du willst, schicke ich dir gern eine E-Mail, wenn ich einen neuen Beitrag veröffentliche. Es kommt kein Spam. Nur nützliche Infos und Freebies für Menschen mit Websites. Versprochen.

Newsletter Sign-up
Ich nutze keinen externen Anbieter und speichere und nutze deine Daten ausschließlich, wie in meinen Datenschutzhinweisen beschrieben. Du kannst dich jederzeit wieder abmelden.

Willst du meinen Newsletter?

Verpasse keine neuen Posts oder Freebies. Ich versende max. einen Newsletter im Monat. Kein Spam. Versprochen.

Newsletter Sign-up
Ich speichere und nutze deine Daten ausschließlich wie in meinen Datenschutzhinweisen beschrieben. Du kannst dich jederzeit wieder abmelden.