Ondersteunde eindpuntconfiguratie

Strict-Transport-Security

Strict Transport Security is een beleid voor webbeveiliging dat websites beschermt tegen aanvallen van protocol-downgrades en het kapen van cookies. Met dit beleid kunnen webservers communiceren via beveiligde HTTPS-verbindingen en nooit via een onveilig HTTP-protocol.

X-Frame-Options

De X-Frame-Options-header verbetert de bescherming van webapplicaties tegen clickjacking. Hierdoor worden de iframes op de site uitgeschakeld en kunnen anderen uw inhoud niet insluiten.

X-XSS-Protection

Met X-XSS-Protection kunnen ontwikkelaars het gedrag van cross-site scripting-beveiligingsfilters wijzigen. Deze filters identificeren onveilige HTML-invoer en blokkeren het laden van de site of verwijderen potentieel schadelijke scripts.

X-Content-Type-Options

Deze header wordt meestal gebruikt om de MIME-type sniffing-functie in webbrowsers te besturen. Als de Content-Type-header leeg is of ontbreekt, identificeert de browser de inhoud om te proberen de bron op de juiste manier weer te geven.

Content-Security-Policy

Deze header biedt een extra beveiligingslaag tegen meerdere kwetsbaarheden zoals XSS, clickjacking, protocol downgrading en frame injection. Indien ingeschakeld heeft dit een aanzienlijke invloed op de manier waarop browsers pagina's weergeven.

X-Permitted-Cross-Domain-Policies

Een cross-domain policy-bestand is een XML-document dat een webclient, zoals Adobe Flash Player of Adobe Acrobat, toestemming geeft om gegevens in meerdere domeinen te verwerken.

Referrer-Policy

De header van Referrer-Policy bepaalt welke referrer-informatie, verzonden in de Referrer-header, moet worden opgenomen in de ingediende verzoeken. Deze beveiligingsheader kan worden opgenomen in communicatie van de server van de website naar een client.

Feature-Policy

De Feature-Policy-header biedt een mechanisme om het gebruik van browserfuncties en API's in een eigen frame toe te staan en te weigeren.

Access-Control-Allow-Origin

De Access-Control-Allow-Origin-header is opgenomen in het antwoord van de ene website op een verzoek afkomstig van een andere website. De header identificeert ook de toegestane oorsprong van het verzoek.

Expect-CT

Dit is een header van het responstype die het gebruik van verkeerd uitgegeven certificaten voor een site voorkomt en ervoor zorgt dat ze niet onopgemerkt blijven.

Public-Key-Pins

Deze responsheader is een beveiligingsmechanisme waarmee HTTPS-websites zich kunnen beschermen tegen imitatie door aanvallers die verkeerd uitgegeven of frauduleuze certificaten gebruiken.

De Strict-Transport-Security-header wordt bijvoorbeeld beoordeeld. De uitleg volgt: