Vicentini Webdesign Blog

Tips, Anleitungen, Arbeitsabläufe, Inspiration, News und Trends

HTTP Security Header für die .htaccess Datei

HTTP Header über htaccess einstellen

Ich checke die Websites meiner Kunden gerade für die DSGVO auf ihre technische Sicherheit. Was auf allen Websites richtig schlecht ist, sind die HTTP Header. SIWECOS* empfiehlt folgende Einstellungen für die .htaccess Datei:

#START HTTP Security Header

#Content Security Policy - CSP-HEADER
# Lade Inhalte nur von Seiten die explizit erlaubt sind
# Beispiel: Alles von der eigenen Domain erlauben, keine Externas:
Header set Content-Security-Policy "default-src 'none'; frame-src 'self'; font-src 'self'; img-src 'self'; object-src 'self'; script-src 'self'; style-src 'self';"

#HTTP Content-Types
AddCharset UTF-8 .html

#Public Key Pins
Header set Public-Key-Pins "pin-sha256=\"base64+primary==\"; pin-sha256=\"base64+backup==\"; max-age=5184000; includeSubDomains"

#Strict-Transport-Security
Header set Strict-Transport-Security "max-age=31536000; includeSubDomains"

#X-Content-Type-Options
Header always set X-Content-Type-Options "nosniff"

#X-Frame-Options
Header always set X-Frame-Options "SAMEORIGIN"

#X-Xss-Protection
Header always set X-Xss-Protection "1; mode=block"

#Referrer-Policy
Header set Referrer-Policy "strict-origin"

#END HTTP Security Header

Aufpassen bei dem ersten Block (CSP-Header)! Den müsst ihr anpassen oder raus nehmen, sonst funktioniert eure Website nicht mehr. Unter diesem Link könnt ihr euren CSP-Header generieren: https://report-uri.com/home/generate

Am besten diese Vorlage so lange anpassen und bei SIWECOS testen, bis es passt.


*SIWECOS ist ein kostenloser Dienst zum Website-Monitoring und sehr zu empfehlen. Weitere Infos unter https://siwecos.de

Ich würde mich über dein Feedback freuen

1 Stern2 Sterne3 Sterne4 Sterne5 Sterne (3 Stimme(n), Durchschnitt: 4,67 von 5)
Loading...

 

Kennst du jemanden, der das lesen sollte? Oder willst du dir den Beitrag für später merken? Dann wäre Teilen eine Idee...

Ein Kommentar

  • Toller Beitrag, HTTP Header werden in der IT-Sicherheit extrem unterschätzt und sollten eigentlich bei jedem Webprojekt geprüft werden.
    Hier findet meines Erachtens immer die größte Manipulation beim Nutzer statt, aber die wenigsten Unternehmen schützen ausreichend.

    Antworten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.