Hyæna

Through the darkness of future past

Analyse der HTTP-Header


Nun gut, eigentlich sollte man meinen, daß eine statisch ausgelieferte Website wie hyaena.de, die auch noch keine externen Bibliotheken lädt, prinzipiell sicher ist, aber dennoch: Eine Analyse der vom Server gesendeten HTTP-Response-Header kann nie schaden.

Also habe ich einmal diese Website hier mit Hilfe des Online-Dienstes Securityheaders.io überprüft, und siehe da: das Ergebnis war wirklich nicht so berauschend. Da Securityheaders.io zum Ergebnis noch auflistet, was schlecht ist und wieso, habe ich meine htaccess-Datei um ein paar Einträge erweitert:

# Don't allow any pages to be framed - Defends against CSRF
Header set X-Frame-Options DENY

# Turn on IE8-IE9 XSS prevention tools
Header set X-XSS-Protection "1; mode=block"

# Only allow JavaScript from the same domain to be run.
# Don't allow inline JavaScript to run.
Header set X-Content-Security-Policy "allow 'self';"
Header set Content-Security-Policy "default-src 'self';"

# prevent mime based attacks
Header set X-Content-Type-Options "nosniff"

Und schon hat hyaena.de ein A+: Scan results for hyaena.de.

Bei den zusätzlichen Informationen sind noch einige sehr informative Links zu den einzelnen Einträgen beziehungsweise Themen!



Ähnliche Artikel