Unterstützte Endpunktkonfiguration

Strict-Transport-Security

Strict-Transport-Security ist eine Web-Sicherheitsrichtlinie, die einen Schutz für Websites gegen Protokoll-Downgrade-Angriffe und Cookie-Hijacking. Diese Richtlinie ermöglicht Webservern die Interaktion über sichere HTTPS-Verbindungen statt des unsicheren HTTP-Protokolls.

X-Frame-Options

Der X-Frame-Options-Header verbessert den Schutz von Webanwendungen vor Clickjacking. Dies deaktiviert die iframes auf der Website und gestattet anderen nicht, Ihre Inhalte einzubetten.

X-XSS-Protection

X-XSS-Protection ermöglicht Entwicklern, das Verhalten des Cross-Site Scripting-Sicherheitsfilters zu ändern. Diese Filter identifizieren unsicheren HTML-Input und blockieren entweder das Laden der Website oder entfernen potenziell schädliche Skripts.

X-Content-Type-Options

Dieser Header wird in der Regel zur Kontrolle der MIME-Type-Sniffing-Funktion in Webbrowsern verwendet. Falls der Content-Type-Header leer ist oder fehlt, identifiziert der Browser den Inhalt und versucht, die Quelle in geeigneter Weise anzuzeigen.

Content-Security-Policy

Dieser Header sorgt für eine zusätzliche Sicherheitsschicht gegen mehrere Sicherheitslücken wie XSS, Clickjacking, Protocol-Downgrading und Frame-Injection. Wenn er aktiviert ist, hat dies eine erhebliche Auswirkungen auf die Art und Weise, wie der Browser Seiten darstellt.

X-Permitted-Cross-Domain-Policies

Eine Cross-Domain-Policy-Datei ist ein XML-Dokument, die einem Webclient, wie z. B. Adobe Flash Player oder Adobe Acrobat erlaubt, Daten domänenübergreifend zu nutzen.

Referrer-Policy

Der Referrer-Policy-Header regelt, welche im Referrer-Header gesendeten Informationen in Anfragen verwendet werden. Dieser Sicherheits-Header kann in Kommunikationen von dem Server der Website zum Client einbezogen werden.

Feature-Policy

Der Feature-Policy-Header bietet einen Mechanismus, der Browser-Funktionen und APIs im eigenen Frame zulässt oder verbietet.

Access-Control-Allow-Origin

Der Access-Control-Allow-Origin-Header ist in der Antwort einer Website auf einen Antrag einer anderen Website enthalten. Er erkennt auch die zulässige Herkunft des Antrags.

Expect-CT

Dieser Response-Type-Header verhindert den Einsatz fälschlich ausgestellter Zertifikate auf einer Website und stellt sicher, dass diese nicht unbeachtet bleiben.

Public-Key-Pins

Dieser Response-Header ist ein Sicherheitsmechanismus, der es HTTPS-Websites erlaubt, einem Identitätsdiebstahl durch Angreifer anhand von fälschlich ausgestellten oder betrügerischen Zertifikaten zu widerstehen.

Der Strict-Transport-Security-Header wird z. B. bewertet. Die Erklärung folgt: