Security Headers (Check)

[evaki]

Security Headers

Template (Customize your options):
<?php
header ('Strict-Transport-Security: max-age=2592000; includeSubdomains');
header("Content-Security-Policy: default-src 'self'; script-src 'self'; object-src 'none'");
header("X-Content-Security-Policy: default-src 'self'; script-src 'self'");
header("X-WebKit-CSP: default-src 'self'; script-src 'self'");
header('X-XSS-Protection: 1; mode=block');
header('X-Content-Type-Options: nosniff');
header('X-Frame-Options: DENY');
header("Referrer-Policy: no-referrer");
header("Feature-Policy: vibrate 'self'; sync-xhr 'self' https://domain.tld");
?>
 
Check Security Headers:

Code: [Select]

https://securityheaders.com/
Reg./MfG. Evaki

[dbs]

Schöne Liste. Hatte das in der .htaccess.
Man sollte seine Seite danach ausgiebig testen, ob noch alles so läuft wie vorher.

[evaki]

Man sollte die benötigten Resourcen und deren Quelle kennen, insbesondere muß man zudem noch die diversen Dokus lesen (das dauert...), sonst kann's tatsächlich auch mal schiefgehen. 
Wer die DSGVO verinnerlicht hat, weiß ja woher was kommt, oder auch nicht... 

Mit der  .htaccess klappt das leider nicht bei jedem Hoster. Außerdem scheint mir das möglicherweise Konflikte zu produzieren -speziell CSP-, da davon dann auch das BE betroffen ist. Habe das aber nicht geprüft.
MfG. Evaki

Vielleicht nicht uninteressant: "HSTS Redirects; WWW to non-WWW and HTTP to HTTPS"

[evaki]

Noch ein wenig über TLS-Session-Tracking und z.B. HSTS.
Heise: Forscher warnen vor Tracking via TLS
Uni Hamburg: Tracking Users across the Web via TLS Session Resumption
Website User Tracking-Prasil-Adam-thesis: F8-DP-2016-Prasil-Adam-thesis

MfG. Evaki