Sicherheit

Sichere HTTP Headers in der .htaccess

pawns 3467512 1920

Nachfolgende Zeilen in der .htaccess machen Sites sicherer, allerdings funktionieren sie selten “einfach so” und ohne dass Modifikationen erforderlich werden.

<IfModule mod_headers.c> Header set Connection keep-alive Header set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" env=HTTPS Header set Content-Security-Policy "script-src 'self'" Header set X-Frame-Options: SAMEORIGIN Header set X-XSS-Protection "1; mode=block" Header always set Referrer-Policy "no-referrer" Header set X-Content-Type-Options "nosniff" </IfModule>

Header set Content-Security-Policy "script-src 'self'" blockiert zum Beispiel Inline-Javascript, was dazu führt, dass viele Websites damit nicht mehr korrekt funktionieren (spätestens im WordPress-Dashboard versagt damit so manche Komfortfunktion).

In diesem Fall müsste die Content Security Policy erweitert werden:

Header set Content-Security-Policy "script-src 'self' 'unsafe-inline'"

Die Einstellung über ein Firewall-Plugins vorzunehmen ist üblicherweise bereits mit entsprechenden Optionen verbunden. Ausführliche Informationen zu HTTP-Headers bei Mozilla.

Anschließend die Site gründlich testen, z.B. mit Opera und Dragonfly.

weiter schmökern

Schreibe einen Kommentar

Bitte Kommentarfunktion nicht für Supportanfragen nutzen. Dem kann hier nicht entsprochen werden.

Deine E-Mail-Adresse wird nicht veröffentlicht.