Security headers

Wat is het?

Het definieren van security headers wordt vaak vergeten bij de beveiliging van websites. Jammer, want met een paar simpele security headers kan de hostingprovider browsermechanismen activeren die bezoekers beschermen tegen aanvallen met bijvoorbeeld cross-site scripting (XSS) of framing.

Waarom is het belangrijk?

Op de website van een hostingprovider worden persoonsgegevens opgeslagen. Het is belangrijk om de klantgegevens en het verkeer goed te beveiligen. De hostingprovider laat daarmee ook zien de veiligheid van klanten serieus te nemen. Het instellen van applicatiebeveiliging is zeer eenvoudig.

Hoe hebben we het getest?

We hebben dit getest op internet.nl. Na het invoeren van de domeinnaam van de hostingprovider wordt het resultaat getoond onder het kopje Beveiligingsopties.

Meer informatie

Er is getest of onderstaande HTTP security headers zijn ingesteld.

  • X-Frame-Options
    Hiermee voorkom je het ‘framen’ van een website. Het voorkomen van framen beschermt bezoekers tegen aanvallen zoals clickjacking.
  • X-Content-Type-Options
    MIME type sniffing wordt geblokkeerd indien de waarde is gezet op nosniff. Het voorkomt een MIME confusion attack, waarbij de aanvaller de content van een bestand zodanig manipuleert dat de browser deze behandelt als een ander soort bestand, bijvoorbeeld als een een uitvoerbaar bestand.
  • X-XSS-Protection
    Cross site scripting (XSS) wordt gebruikt om websites mee te hacken. Met XSS injecteert de hacker, bijvoorbeeld via een formulier op de website, kwaadaardige code in een website die bezoekers van deze website kan besmetten.
    Als een header voor X-XSS-Protection aanwezig is, wordt ook meteen gekeken naar de ingestelde waarde: 0, 1 of 1; mode=block, waarbij de laatste de aanbevolen instelling is.  Als dan een cross-site scripting aanval wordt gedetecteerd, dan zal de browser de weergave van de pagina blokkeren.
  • Referrer-Policy
    Hiermee wordt ingesteld of de browser informatie mag meegeven over vanaf welke pagina de bezoeker komt. Als een bezoeker naar een andere site gaat, dan kan worden opgeslagen vanaf welke website deze komt.
    Deze optie lijkt vooral met privacybescherming te maken te hebben, maar heeft toch ook te maken met veiligheid. Informatie kan worden doorgegeven naar HTTP websites (dus websites zonder SSL-certificaat) of gelekt worden naar derden die de verbinding afluisteren.

 

Links

Een uitgebreidere test is beschikbaar op Security Headers.