HTTP Sicherheits-Header

Schutz vor Cross-site Scripting (XSS)

Moderne Browser verfügen über eine Funktion zum Schutz vor Angriffen mittels Cross-Site-Scripting (XSS). Das Setzen des X-XSS-Protection HTTP-Headers im wao.io Kontroll-Panel aktiviert diese Browser-Funktion. Du entscheidest dabei selbst, ob Du nur unsichere Skripte entfernen oder die gesamte Seite blockieren willst.

Flexible Referrer Policy

Schütze die Privatsphäre und Sicherheit Deiner Nutzer und setze mit wao.io den Referrer-Policy-Header. Damit Du die Kontrolle über Deine Analysen behältst, kannst Du selbst festlegen, wann der Browser einen Referrer-Header setzt und wann nicht.

Schutz vor Clickjacking

Bei Angriffen werden oft iFrames verwendet, um Klicks von einer Website abzugreifen. Aktiviere die X-Frame-Optionen in wao.io, um iFrames zu deaktivieren. Das verringert das Risiko von Clickjacking deutlich. Wenn Du auf iFrames angewiesen bist, kannst Du ganz einfach Regeln vorgeben, welche URLs vertrauenswürdig sind, und welche Nutzer die jeweiligen iFrames angezeigt bekommen.

Kein Content Type Sniffing mehr

Content-Sniffing ermöglicht es einem Angreifer, bösartigen Code zu injizieren, der sich als normale Ressource tarnt. Das Setzen des x-content-type-Headers auf nosniff schützt Deine Nutzer vor den Folgen wie etwa Drive-by-Downloads. Das ist wichtig für die Integrität Deiner Website.

Keine Weitergabe von Informationen über Deine Server

Wenn Du zu viele Informationen über Deine Server preisgibst, erhöht sich das Risiko von Angriffen drastisch. Hacker nutzen die Informationen über die implementierte Software, um Sicherheitslücken zu finden. Mit wao.io kannst Du diese sensiblen Informationen mit einem Knopfdruck entfernen.

Cookie-Sicherheit

Mit wao.io reduzierst Du das Risiko eines Cookie-Diebstahls deutlich. Das Setzen des HTTP Only-Attributs verweigert den Zugriff mit JavaScript auf den Cookie. Das verhindert Diebstähle auch bei eventuellen XSS-Fehlern als Einfallstor. Als sicher gekennzeichnete Cookies werden ausschließlich über HTTPS bedient. So wird ein einfaches Abfangen verhindert, auch wenn der Nutzer versehentlich zu einer unverschlüsselten HTTP-Verbindung wechselt.