Sichere HTTP-Header: kompakter Überblick

Sichere HTTP-Header: kurzer Überblick

Diese Header härten Ihre Website gegen typische Angriffe. Setzen Sie sie konsequent auf allen Seiten (auch Fehlerseiten, Assets und Redirects).

Kern-Header

• HSTS: HTTPS auf Domain und Subdomains erzwingen; ggf. Preload.
• CSP: kein Inline-Code; Skripte via Nonces/Hashes; Drittinhalte isolieren; frame-ancestors setzen.
• X-Content-Type-Options: nosniff gegen MIME-Sniffing.
• Referrer-Policy: Referrer einschränken (z. B. strict-origin-when-cross-origin).
• Permissions-Policy: ungenutzte Features explizit deaktivieren (Kamera, Mikro, Geolokation usw.).

Einführung und Betrieb

• Mit CSP zunächst als Report-Only starten und Verstöße sammeln.
• Header auf allen Routen ausliefern (HTML, API, statisch).
• Mit mehreren Browsern/Tools testen und Berichte überwachen.

Kurzfassung

Kern-Header setzen: HSTS, CSP, X-Content-Type-Options, Referrer-Policy und Permissions-Policy.

5-Minuten-Checkliste

• Strict-Transport-Security: max-age=31536000; includeSubDomains; preload
• Content-Security-Policy: default-src 'self'; …
• X-Content-Type-Options: nosniff
• Referrer-Policy: strict-origin-when-cross-origin
• Permissions-Policy: camera=(), microphone=(), geolocation=()

Resources