webentwicklerin

.at

pawns 3467512 1920

Sichere HTTP Headers in der .htaccess

Nachfolgende Zeilen in der .htaccess machen Sites sicherer, allerdings funktionieren sie selten „einfach so“ und ohne dass Modifikationen erforderlich werden.

 <IfModule mod_headers.c>
	Header set Connection keep-alive
	Header set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" env=HTTPS
	Header set Content-Security-Policy "script-src 'self'" 
	Header set X-Frame-Options: SAMEORIGIN
	Header set X-XSS-Protection "1; mode=block"
	Header always set Referrer-Policy "no-referrer"
	Header set X-Content-Type-Options "nosniff"
 </IfModule>

Header set Content-Security-Policy "script-src 'self'" blockiert zum Beispiel Inline-Javascript, was dazu führt, dass viele Websites damit nicht mehr korrekt funktionieren (spätestens im WordPress-Dashboard versagt damit so manche Komfortfunktion).

In diesem Fall müsste die Content Security Policy erweitert werden:

Header set Content-Security-Policy "script-src 'self' 'unsafe-inline'"

Die Einstellung über ein Firewall-Plugins vorzunehmen ist üblicherweise bereits mit entsprechenden Optionen verbunden. Ausführliche Informationen zu HTTP-Headers bei Mozilla.

Anschließend die Site gründlich testen, z.B. mit Opera und Dragonfly.

Bitte Kommentarfunktion nicht für Supportanfragen nutzen. Dem kann hier nicht entsprochen werden. Die Angabe einer E-Mail-Adresse und eines Namens ist nicht erforderlich. Einen (Spitz)-Namen zu nennen wäre aber doch nett.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

*

Hinweis: Sowohl angegebener Name als auch E-Mail-Adresse (beides ist optional, dafür werden alle Kommentare vor Veröffentlichung geprüft) werden dauerhaft gespeichert. Du kannst jeder Zeit die Löschung Deiner Daten oder / und Kommentare einfordern, direkt über dieses Formular (wird nicht veröffentlicht, und im Anschluss gelöscht), und ich werde das umgehend erledigen. – Mit hinterlassenen Kommentaren hinterlegte IP-Adressen werden nach zwei Monaten automatisch gelöscht

vielleicht auch interessant:

  • Nach Änderung der Domains keine Anmeldung auf Hauptseite in Multisiteumgebung möglich

    Nach Änderung der Domains keine Anmeldung auf Hauptseite in Multisiteumgebung möglich

  • WordPress: Wie kann ich das Sicherheitsrisiko admin (ID#1) loswerden?

    WordPress: Wie kann ich das Sicherheitsrisiko admin (ID#1) loswerden?