Web-Sicherheit
Diese Header härten Ihre Website gegen typische Angriffe. Setzen Sie sie konsequent auf allen Seiten (auch Fehlerseiten, Assets und Redirects).
Kern-Header
- HSTS: HTTPS auf Domain und Subdomains erzwingen; ggf. Preload.
- CSP: kein Inline-Code; Skripte via Nonces/Hashes; Drittinhalte isolieren; frame-ancestors setzen.
- X-Content-Type-Options: nosniff gegen MIME-Sniffing.
- Referrer-Policy: Referrer einschränken (z. B. strict-origin-when-cross-origin).
- Permissions-Policy: ungenutzte Features explizit deaktivieren (Kamera, Mikro, Geolokation usw.).
Einführung und Betrieb
- Mit CSP zunächst als Report-Only starten und Verstöße sammeln.
- Header auf allen Routen ausliefern (HTML, API, statisch).
- Mit mehreren Browsern/Tools testen und Berichte überwachen.
Kurzfassung
Kern-Header setzen: HSTS, CSP, X-Content-Type-Options, Referrer-Policy und Permissions-Policy.
5-Minuten-Checkliste
Strict-Transport-Security: max-age=31536000; includeSubDomains; preloadContent-Security-Policy: default-src 'self'; …X-Content-Type-Options: nosniffReferrer-Policy: strict-origin-when-cross-originPermissions-Policy: camera=(), microphone=(), geolocation=()