Sicherheitseinstellungen von Webseiten mit Observatory testen

  • Ich habe eine Content Security Policy umgesetzt, mit der ich bestimme welche Objekte von welchen hosts geholt bzw. ausgeführt werden. Das hilft XSS- Attacken zu vermeiden.
  • HTTP Strict Transport Security, d.h. der Browser bekommt mitgeteilt, dass er die Seite in Zukunft nur noch per https aufruft.
  • X-Content-Type-Options nosniff hält soweit ich das verstanden habe Browser davon ab anders zu interpretieren als vorgegeben, damit der Browser z.B. nicht auf die Idee kommt Inhalt als Script auszuführen, der kein Script sein sollte.
  • X-Frame-Options verbieten meine Seite in einem iframe auszuliefern, was gegen Clickjacking hilft.
  • X-XSS-Protection aktiviert Browsermethoden zur Vermeidung von XSS- Attacken

Damit sieht die Konfiguration meiner Seite in den gängigen Testtools schon ganz gut aus, aber ich werde in nächster Zeit versuchen das nach und nach noch etwas zu verbessern. Leider weiß ich nicht, ob ich bei einem shared hosting da nicht irgendwann an Grenzen stoße.

Teilen: E-Mail

Hinterlasse einen Kommentar oder diskutiere im OSBN-Chat.

In den Kommentaren können folgende Formatierungen genutzt werden.