HTTP Security Headers
De beste website maakt de beveiligde https-verbinding nog veiliger met HTTP security headers. Gebruikt uw website HTTP security headers voor extra veiligheid? Communiceert uw website via HTTP security headers aan de browser van de bezoeker welke veiligheidsmaatregelen er genomen zijn?
HTTP security headers
De bezoeker bekijkt uw website via een browser. Uw webserver communiceert HTML pagina's naar de browser. Uw webserver of website kan ook HTTP security headers meesturen om de browser te informeren over de HTTP Security. Wat mag een browser verwachten van de website en server?
Test de HTTP Security Headers die via de HTTP response headers van uw website worden meegestuurd via Security Headers. Er zijn verschillende veiligheidsmaatregelen die via HTTP Security Headers kunnen worden afgedwongen:
X Content Type Options
Een browser kan het bestandstype van een bestand interpreteren op basis van de inhoud van een bestand. Met "X-Content-Type-Options: nosniff" dwingt de server af dat de browser het type content niet zelf bepaalt via MIME. Daarmee voorkomt u dat tekst bestanden en plaatjes als HTML/JavaScript worden uitgevoerd.
X-Content-Type-Options: nosniff
Referrer Policy
Als een bezoeker op uw website op een hyperlink klikt naar een andere site, dan communiceert de browser via de "referrer" in de HTTP header aan de nieuwe site waar u vandaan komt. Een website kan dan via webserver statistieken zien waar hun bezoekers vandaan komen. Indien uw website https draait en de link naar een http website verwijst, dan is dat voor de bezoeker een "downgrade" van de verbinding. Om de privacy van uw bezoekers te beschermen, kunt u de referrer uitschakelen.
Referrer Policy: no-referrer-when-downgrade
Feature Policy
Feature Policy is vervangen door Permissions Policy.
Permissions Policy
Met de Permissions-Policy bepaalt u welke browserfuncties en application programming interface (API) functies u in of uit wilt schakelen. U kent vast de pop-ups van websites die vragen om uw locatie. U kunt uw webserver of website aan de browser van de bezoeker laten communiceren dat u aan de bezoeker niet om hun locatie (geolocation) vraagt.
De volgende functies kunt u toestaan of blokkeren:
- geolocation
- midi
- notifications
- push
- sync-xhr
- microphone
- camera
- magnetometer
- gyroscope
- speaker
- vibrate
- fullscreen
- payment
permissions-policy: camera=(); geolocation=(); microphone=(); payment=();
Content Security Policy (CSP)
Met de Content Security Policy definieert u van welke goedgekeurde bronnen de browser van de bezoeker bestanden (CSS stylesheets, JavaScript libraries, lettertypes) mag laden. Denk bijvoorbeeld aan externe Google fonts, JQuery JavaScripts etc.
U kunt ervoor kiezen om alle externe bronnen op uw eigen site te plaatsen, of via de CSP te regelen welke externe bronnen u accepteert. Het is een effectieve tegenmaatregel tegen Cross Site Scripting (XSS) aanvallen.
content-security-policy: frame-ancestors 'self'
HTTP Strict Transport Security (HSTS)
Door middel van HTTP Strict Transport Security dwingt u af dat alle communicatie tussen bezoeker en uw website over een beveiligde transportlaag (https) plaatsvindt. Hiermee voorkomt u een man-in-the-middle (MiTM) aanval. Via HSTS communiceert uw website aan de browser dat uw website de eerstvolgende x dagen via https werkt.
strict-transport-security: max-age=15768000
X Frame Options
Met de X-Frame-Options header beschermt u uw bezoekers tegen clickjacking aanvallen. Bij een clickjack aanval kan een aanvaller via een iframe en wat CSS informatie van uw webbrowser stelen. Dit kunt u voorkomen door x-frame-options te definieren. Maar u kunt dit ook regelen via de "frame-ancestors" in Content Security Policy.
x-frame-options: SAMEORIGIN
Terug naar: Een veilige website
Meer weten?
- Online Tool: Security Headers - check HTTP response headers
- Website: Scott Helme's website on HTTP response headers
- Online Tool: The Mozilla Observatory
