Important HTTP Security Headers (e.g., CSP, HSTS, X-Frame-Options)

3. HTTP Security Headers Cheatsheet

Ziel: HTTP-Sicherheitsheader bieten Schutz gegen Angriffe wie XSS, Clickjacking oder unsichere Übertragungen. Sie sollten geprüft und entsprechend konfiguriert werden.

1. Content Security Policy (CSP)

• Was macht es? Begrenzt, welche Ressourcen (z. B. Skripte, Styles) geladen werden dürfen. Verhindert XSS, indem bösartige Skripte blockiert werden.

• Beispiel:

Content-Security-Policy: default-src 'self'; script-src 'self' https://trusted.cdn.com; object-src 'none'

2. HTTP Strict Transport Security (HSTS)

• Was macht es? Erzwingt HTTPS-Verbindungen, um Man-in-the-Middle-Angriffe und Downgrade-Angriffe zu verhindern.

• Beispiel:

Strict-Transport-Security: max-age=31536000; includeSubDomains

3. X-Content-Type-Options

• Was macht es? Verhindert MIME-Sniffing, bei dem der Browser versucht, den Dateityp zu erraten.

• Beispiel:

X-Content-Type-Options: nosniff

4. X-Frame-Options

• Was macht es? Schützt vor Clickjacking, indem die Seite nur in erlaubten Frames geladen werden kann.

• Beispiel:

X-Frame-Options: SAMEORIGIN

5. Referrer-Policy

• Was macht es? Kontrolliert, welche Referrer-Informationen (URL-Herkunft) an andere Seiten gesendet werden.

• Beispiel:

Referrer-Policy: no-referrer-when-downgrade

6. Permissions-Policy

• Was macht es? Einschränkung von Funktionen wie Geolocation, Kamera oder Mikrofon.

• Beispiel:

Permissions-Policy: geolocation=(self "https://example.com")

7. Cache-Control

• Was macht es? Steuert das Caching, um sensible Daten vor unsicherer Speicherung zu schützen.

• Beispiel:

Cache-Control: no-store, no-cache, must-revalidate