Korrekte HTTP-Security-Header sind die günstigste Sicherheitsmaßnahme. Eine einzige Konfigurationszeile kann ganze Angriffskategorien verhindern.
Vollständiger Satz — Nginx¶
add_header Strict-Transport-Security “max-age=63072000; includeSubDomains; preload” always; add_header X-Frame-Options “DENY” always; add_header X-Content-Type-Options “nosniff” always; add_header Referrer-Policy “strict-origin-when-cross-origin” always; add_header Permissions-Policy “camera=(), microphone=(), geolocation=()” always; add_header Content-Security-Policy “default-src ‘self’” always; add_header Cross-Origin-Opener-Policy “same-origin” always;
Was jeder Header bewirkt¶
- HSTS: Erzwingt HTTPS, verhindert SSL-Stripping
- X-Frame-Options: Verhindert Clickjacking
- X-Content-Type-Options: Verhindert MIME-Sniffing
- Referrer-Policy: Kontrolliert den Referer-Header
- Permissions-Policy: Beschränkt den Zugriff auf APIs (Kamera, GPS)
Testen¶
curl -I https://example.com
Online: securityheaders.com, observatory.mozilla.org¶
Wichtigste Erkenntnis¶
Alle Security-Header hinzufügen. Dauert 5 Minuten, schützt vor Clickjacking, XSS und MIME-Sniffing.
securityhttpheadersweb