WebsiteBaker Support (2.12.x) > Hilfe & Support (deutsch)

Security Headers (Check)

(1/1)

evaki:
Security Headers

Template (Customize your options):
<?php
header ('Strict-Transport-Security: max-age=2592000; includeSubdomains');
header("Content-Security-Policy: default-src 'self'; script-src 'self'; object-src 'none'");
header("X-Content-Security-Policy: default-src 'self'; script-src 'self'");
header("X-WebKit-CSP: default-src 'self'; script-src 'self'");
header('X-XSS-Protection: 1; mode=block');
header('X-Content-Type-Options: nosniff');
header('X-Frame-Options: DENY');
header("Referrer-Policy: no-referrer");
header("Feature-Policy: vibrate 'self'; sync-xhr 'self' https://domain.tld");
?>
 
Check Security Headers:
--- Code: ---https://securityheaders.com/
--- End code ---

Reg./MfG. Evaki

dbs:
Schöne Liste. Hatte das in der .htaccess.
Man sollte seine Seite danach ausgiebig testen, ob noch alles so läuft wie vorher.

evaki:
Man sollte die benötigten Resourcen und deren Quelle kennen, insbesondere muß man zudem noch die diversen Dokus lesen (das dauert...), sonst kann's tatsächlich auch mal schiefgehen.  :cry:
Wer die DSGVO verinnerlicht hat, weiß ja woher was kommt, oder auch nicht...  :evil:

Mit der  .htaccess klappt das leider nicht bei jedem Hoster. Außerdem scheint mir das möglicherweise Konflikte zu produzieren -speziell CSP-, da davon dann auch das BE betroffen ist. Habe das aber nicht geprüft.
MfG. Evaki

Vielleicht nicht uninteressant: "HSTS Redirects; WWW to non-WWW and HTTP to HTTPS"

evaki:
Noch ein wenig über TLS-Session-Tracking und z.B. HSTS.
Heise: Forscher warnen vor Tracking via TLS
Uni Hamburg: Tracking Users across the Web via TLS Session Resumption
Website User Tracking-Prasil-Adam-thesis: F8-DP-2016-Prasil-Adam-thesis

MfG. Evaki

Navigation

[0] Message Index