HTTP Security Headers

De beste website maakt de beveiligde https-verbinding nog veiliger met HTTP security headers. Gebruikt uw website HTTP security headers voor extra veiligheid? Communiceert uw website via HTTP security headers aan de browser van de bezoeker welke veiligheidsmaatregelen er genomen zijn?

HTTP security headers

De bezoeker bekijkt uw website via een browser. Uw webserver communiceert HTML pagina's naar de browser. Uw webserver of website kan ook HTTP security headers meesturen om de browser te informeren over de HTTP Security. Wat mag een browser verwachten van de website en server?

Test de HTTP Security Headers die via de HTTP response headers van uw website worden meegestuurd via Security Headers. Er zijn verschillende veiligheidsmaatregelen die via HTTP Security Headers kunnen worden afgedwongen:

X Content Type Options

Een browser kan het bestandstype van een bestand interpreteren op basis van de inhoud van een bestand. Met "X-Content-Type-Options: nosniff" dwingt de server af dat de browser het type content niet zelf bepaalt via MIME. Daarmee voorkomt u dat tekst bestanden en plaatjes als HTML/JavaScript worden uitgevoerd.

X-Content-Type-Options: nosniff

Referrer Policy

Als een bezoeker op uw website op een hyperlink klikt naar een andere site, dan communiceert de browser via de "referrer" in de HTTP header aan de nieuwe site waar u vandaan komt. Een website kan dan via webserver statistieken zien waar hun bezoekers vandaan komen. Indien uw website https draait en de link naar een http website verwijst, dan is dat voor de bezoeker een "downgrade" van de verbinding. Om de privacy van uw bezoekers te beschermen, kunt u de referrer uitschakelen.

Referrer Policy: no-referrer-when-downgrade

Feature Policy

Feature Policy is vervangen door Permissions Policy.

Permissions Policy

Met de Permissions-Policy bepaalt u welke browserfuncties en application programming interface (API) functies u in of uit wilt schakelen. U kent vast de pop-ups van websites die vragen om uw locatie. U kunt uw webserver of website aan de browser van de bezoeker laten communiceren dat u aan de bezoeker niet om hun locatie (geolocation) vraagt.

De volgende functies kunt u toestaan of blokkeren:

geolocation
midi
notifications
push
sync-xhr
microphone
camera
magnetometer
gyroscope
speaker
vibrate
fullscreen
payment

permissions-policy: camera=(); geolocation=(); microphone=(); payment=();

Content Security Policy (CSP)

Met de Content Security Policy definieert u van welke goedgekeurde bronnen de browser van de bezoeker bestanden (CSS stylesheets, JavaScript libraries, lettertypes) mag laden. Denk bijvoorbeeld aan externe Google fonts, JQuery JavaScripts etc.

U kunt ervoor kiezen om alle externe bronnen op uw eigen site te plaatsen, of via de CSP te regelen welke externe bronnen u accepteert. Het is een effectieve tegenmaatregel tegen Cross Site Scripting (XSS) aanvallen.

content-security-policy: frame-ancestors 'self'

HTTP Strict Transport Security (HSTS)

Door middel van HTTP Strict Transport Security dwingt u af dat alle communicatie tussen bezoeker en uw website over een beveiligde transportlaag (https) plaatsvindt. Hiermee voorkomt u een man-in-the-middle (MiTM) aanval. Via HSTS communiceert uw website aan de browser dat uw website de eerstvolgende x dagen via https werkt.

strict-transport-security: max-age=15768000

X Frame Options

Met de X-Frame-Options header beschermt u uw bezoekers tegen clickjacking aanvallen. Bij een clickjack aanval kan een aanvaller via een iframe en wat CSS informatie van uw webbrowser stelen. Dit kunt u voorkomen door x-frame-options te definieren. Maar u kunt dit ook regelen via de "frame-ancestors" in Content Security Policy.

x-frame-options: SAMEORIGIN

Terug naar: Een veilige website