Security Header

Security Header sind Einstellungen am HTTP-Header, die Regeln für die Kommunikation mit der Webseite setzen.

Mithilfe von Security Headern strengere Kommunikationsregeln zu setzen und Standardverhalten des Browsers gezielt einzuschränken, schützt sowohl die Webseite als auch deren Nutzer. Da es Fälle geben kann, in denen ein weniger strenges Verhalten notwendig und gewollt ist, beispielsweise beim Einsatz älterer Technologien, sollte gepfrüft werden, ob die gewünschte Funktionalität einer Webseite nach Aktivierung der strengeren Regeln noch gegeben ist.

Nachträgliche Optimierung

Durch die Verwendung eines Content Delivery Network (CDN) oder Proxy-Servers, kann sich die Möglichkeit ergeben, dort Security Header hinzuzufügen. Damit lässt sich die Sicherheit einer bestehenden Webseite nachträglich erhöhen, ohne an der Webseite selbst Änderungen vornehmen zu müssen.

Beispiele

Folgende Security Header haben wir in diesem Glossar näher erklärt:

• Content Security Policy (CSP) dient der Abwehr von Cross-Site-Scripting-Angriffen.
• Hypertext Strict Transport Security (HSTS) ermgöglicht es, eine verschlüsselte Verbindung zwischen Server und Client (Browser) mithilfe von HTTPS zu erwzingen.
• X-Content-Type-Options ermöglichen, Content-Type Sniffings durch den Browser zu verhindern.
• X-Frame-Options können das Einbetten der eigene Webseite in andere Webseiten beschränken und dadurch vor Clickjacking-Angriffen schützen.
• X-Permitted-Cross-Domain-Policies schützt vor unerwünschtem Einbetten der eigenen Webseiteninhalte in PDF-Dokumente und Adobe-Flash-Anwendungen auf anderen Webseiten.
• X-XSS-Protection schützt vor reflektierten Cross-Site-Scripting-Attacken (Reflected XSS).