Sicherheits-Header beschreibt HTTP-Response-Header, die verwendet werden können, um die Sicherheit Ihrer Anwendung zu erhöhen. In anderen Worten, diese Header weisen den Webbrowser an, eine Reihe von Sicherheitsvorkehrungen zu aktivieren, die Ihre Website vor Angriffen schützen.
Strict-Transport-Security
Strict-Transport-Security ist eine Web-Sicherheitsrichtlinie, die einen Schutz für Websites gegen Protokoll-Downgrade-Angriffe und Cookie-Hijacking. Diese Richtlinie ermöglicht Webservern die Interaktion über sichere HTTPS-Verbindungen statt des unsicheren HTTP-Protokolls.
X-Frame-Options
X-Frame-Options-Response-Header verbessern den Schutz von Webanwendungen vor Clickjacking. Dies deaktiviert die iframes auf der Website und gestattet anderen nicht, Ihre Inhalte einzubetten.
X-XSS-Protection
X-XSS-Protection ermöglicht Entwicklern, das Verhalten des Cross-Site Scripting-Sicherheitsfilters zu ändern. Diese Filter identifizieren unsicheren HTML-Input und blockieren entweder das Laden der Website oder entfernen potenziell schädliche Skripts.
X-Content-Type-Options
Dieser Header wird in der Regel zur Kontrolle der MIME-Type-Sniffing-Funktion in Webbrowsern verwendet. Falls der Content-Type-Header leer ist oder fehlt, identifiziert der Browser den Inhalt und versucht, die Quelle in geeigneter Weise anzuzeigen.
Content-Security-Policy
Dieser Header sorgt für eine zusätzliche Sicherheitsschicht gegen mehrere Sicherheitslücken wie XSS, Clickjacking, Protocol-Downgrading und Frame-Injection. Wenn er aktiviert ist, hat dies erhebliche Auswirkungen auf die Art und Weise, wie der Browser Seiten darstellt.
X-Permitted-Cross-Domain-Policies
Eine Cross-Domain-Policy-Datei ist ein XML-Dokument, die einem Webclient, wie z. B. Adobe Flash Player oder Adobe Acrobat (jedoch nicht notwendigerweise auf diese beschränkt), erlaubt, Daten domänenübergreifend zu nutzen.
Referrer-Policy
Der Referrer-Policy-HTTP-Header regelt, welche im Referrer-Header gesendeten Informationen in Anfragen verwendet werden. Mit anderen Worten, dieser Sicherheits-Header kann in Kommunikationen vom der Server der Website zum Client einbezogen werden.
Feature-Policy
Der Feature-Policy-Header bietet einen Mechanismus, der Browser-Funktionen und APIs im eigenen Frame zulässt oder verbietet.
Access-Control-Allow-Origin
Der Access-Control-Allow-Origin-Header ist in der Antwort einer Website auf einen Antrag einer anderen Website enthalten und erkennt auch die zulässige Herkunft des Antrags.
Expect-CT
Dieser Response-Type-Header verhindert den Einsatz fälschlich ausgestellter Zertifikate auf einer Website und stellt sicher, dass diese nicht unbeachtet bleiben.
Public-Key-Pins
Dieser Response-Header ist ein Sicherheitsmechanismus, der es HTTPS-Websites erlaubt, einem Identitätsdiebstahl durch Angreifer anhand von fälschlich ausgestellten oder betrügerischen Zertifikaten zu widerstehen.
Der Strict-Transport-Security-Header z. B. wird bewertet. Die Erklärung folgt:
Validierung | Serverbewertung |
---|---|
Höchstalter < 10368000 (120 days) | At risk |
max-age >= 10368000 und Höchstalter < 31536000 | Secure |
max-age >= 31536000 (1 Jahr) | Sehr sicher |
Strict-Transport-Security wird nur bewertet, wenn der Antrag erfolgreich ist (HTTP 200 OK).
HTTP-Response-Header enthalten Informationen wie das Datum, die Größe und den Typ der Datei, die der Webserver nach Erhalt eines HTTP-Antrags zurück an den Browser sendet.
Alle in HTTP-Response empfangenen Header können analysiert werden.
Für eine sichere Kommunikation müssen sich TLS-Client und Server auf die kryptografischen Algorithmen und Schlüssel einigen, die beide für eine gesicherte Verbindung verwenden.
Die möglichen Kombinationen bieten jedoch zahlreiche Wahlmöglichkeiten und TLS erlaubt nur bestimmte, genau definierte Kombinationen aus diesen Wahlmöglichkeiten, die sogenannten Cipher Suites (Verschlüsselungssammlungen).
Discovery identifiziert alle vom Server unterstützten Verschlüsselungssammlungen und klassifiziert sie in „Unsicher“, „Schwach“ und „Sicher“-Kategorien basierend auf Best Practices der Branche.
Die Kategorie “Sicher” enthält empfohlene Verschlüsselungssammlungen, deren Verwendung sicher ist.