Sichere HTTP‑Header: kurzer Überblick
Diese Header härten Ihre Website gegen typische Angriffe. Setzen Sie sie konsequent auf allen Seiten (auch Fehlerseiten, Assets und Redirects).
Kern‑Header
- HSTS: HTTPS auf Domain und Subdomains erzwingen; ggf. Preload.
- CSP: kein Inline‑Code; Skripte via Nonces/Hashes; Drittinhalte isolieren; frame-ancestors setzen.
- X‑Content‑Type‑Options: nosniff gegen MIME‑Sniffing.
- Referrer‑Policy: Referrer einschränken (z. B. strict-origin-when-cross-origin).
- Permissions‑Policy: ungenutzte Features explizit deaktivieren (Kamera, Mikro, Geolokation usw.).
Einführung & Betrieb
- Mit CSP zunächst als Report‑Only starten und Verstöße sammeln.
- Header auf allen Routen ausliefern (HTML, API, statisch).
- Mit mehreren Browsern/Tools testen und Berichte überwachen.