Sicherheit

Sichere HTTP Headers in der .htaccess

pawns 3467512 1920

Nachfolgende Zeilen in der .htaccess machen Sites sicherer, allerdings funktionieren sie selten „einfach so“ und ohne dass Modifikationen erforderlich werden.

<IfModule mod_headers.c> Header set Connection keep-alive Header set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" env=HTTPS Header set Content-Security-Policy "script-src 'self'" Header set X-Frame-Options: SAMEORIGIN Header set X-XSS-Protection "1; mode=block" Header always set Referrer-Policy "no-referrer" Header set X-Content-Type-Options "nosniff" </IfModule>
Code-Sprache: JavaScript (javascript)

Header set Content-Security-Policy "script-src 'self'" blockiert zum Beispiel Inline-Javascript, was dazu führt, dass viele Websites damit nicht mehr korrekt funktionieren (spätestens im WordPress-Dashboard versagt damit so manche Komfortfunktion).

In diesem Fall müsste die Content Security Policy erweitert werden:

Header set Content-Security-Policy "script-src 'self' 'unsafe-inline'"
Code-Sprache: JavaScript (javascript)

Die Einstellung über ein Firewall-Plugins vorzunehmen ist üblicherweise bereits mit entsprechenden Optionen verbunden. Ausführliche Informationen zu HTTP-Headers bei Mozilla.

Anschließend die Site gründlich testen, z.B. mit Opera und Dragonfly.

Schreibe einen Kommentar

Bitte Kommentarfunktion nicht für Supportanfragen nutzen. Dem kann hier nicht entsprochen werden.

Deine E-Mail-Adresse wird nicht veröffentlicht.