HTTP Security Header sind Zusatzinformationen, die ein Webserver an den Webbrowser schickt, um Webanwendungen gegen bekannte Sicherheitsrisiken zu schützen.
Das OWASP Secure Headers Project (auch OSHP genannt) beschreibt HTTP-Response-Header, die Dein Webserver verwenden kann, um die Sicherheit Deiner Webseiten zu erhöhen. Einmal gesetzt, können diese HTTP-Response-Header moderne Browser (die Unterstützung des Browsers ist hier Voraussetzung) vor leicht vermeidbaren Sicherheitslücken bewahren. Das OWASP Secure Headers Project hat sich zum Ziel gesetzt, das Bewusstsein und die Verwendung dieser Header zu erhöhen.
Die Empfohlenen Security Header in der HTTP Antwort sind unter anderem:
- HTTP Strict Transport Security (HSTS)
Der HTTP-Header Strict-Transport-Security (oft als HSTS abgekürzt) informiert die Browser darüber, dass der Zugriff auf die Website nur über HTTPS erfolgen sollte und dass alle zukünftigen Zugriffsversuche über HTTP automatisch in HTTPS umgewandelt werden sollten. - X-Frame-Options
Der HTTP-Header X-Frame-Options kann verwendet werden, um anzugeben, ob ein Browser eine Seite in einem <frame>, <iframe>, <embed> oder <object> darstellen darf. Websites können damit Click-Jacking-Angriffe verhindern, indem sie sicherstellen, dass ihre Inhalte nicht in andere Websites eingebettet werden. - Content-Security-Policy (CSP)
Content Security Policy (CSP) ist eine zusätzliche Sicherheitsebene, die dazu beiträgt, bestimmte Arten von Angriffen wie Cross-Site-Scripting (XSS) und Data-Injection-Angriffe zu erkennen und zu entschärfen. Diese Angriffe werden für alles Mögliche genutzt, vom Datendiebstahl über die Verunstaltung von Websites bis hin zur Verbreitung von Malware. - X-Content-Type-Options
Der HTTP-Header X-Content-Type-Options ist eine Markierung, die vom Server verwendet wird, um anzuzeigen, dass die in den Content-Type-Headern angegebenen MIME-Typen befolgt und nicht verändert werden sollen. Mit diesem Header können Sie MIME-Typ-Sniffing vermeiden, indem Sie angeben, dass die MIME-Typen absichtlich konfiguriert sind. - Referrer-Policy
Der HTTP-Header Referrer-Policy steuert, wie viele Referrer-Informationen (die mit dem Referer-Header gesendet werden) in die Anfragen aufgenommen werden sollen. Abgesehen vom HTTP-Header kann man diese Richtlinie auch in HTML festlegen. - Permissions-Policy
Der Permissions-Policy Header kann verwendet werden, um dem Webbrowser mitzuteilen, welche Ursprünge (bestehend aus Schema, Hostname und Port) Zugriff auf welche Funktionen der Website haben. Die Richtlinie kann auf oberster Ebene sowohl global für die gesamte Website als auch individuell für eingebettete Iframe-Elemente definiert werden.
Um mehr zu erfahren lese doch unseren Artikel darüber wie man HTTP Security Header richtig einsetzen kann.
Du kannst auch die auf Deinem Server eingesetzten HTTP Security Header mit dem Security Scanner überprüfen.
