HTTP-Sicherheitsheader
Was ist HTTP-Sicherheitsheader?
HTTP-SicherheitsheaderAntwort-Header, die den Browser zu defensivem Verhalten anweisen: HTTPS-Pflicht, Framing-Beschränkungen, Inhaltsrichtlinien und Referer-Kontrolle.
HTTP-Sicherheitsheader sind ein kostengünstiges, wirkungsvolles Mittel zur Härtung von Webanwendungen, das die im Browser eingebauten Schutzfunktionen nutzt. Zum Kernset gehören 'Strict-Transport-Security' (HSTS), 'Content-Security-Policy' (CSP), 'X-Content-Type-Options: nosniff', 'X-Frame-Options' bzw. 'frame-ancestors', 'Referrer-Policy', 'Permissions-Policy', 'Cross-Origin-Opener-Policy' und 'Cross-Origin-Resource-Policy'. Jeder Header entschärft eine Angriffsklasse: Protokoll-Downgrade, MIME-Sniffing, Clickjacking, Referer-Leakage, missbräuchlichen Zugriff auf Browser-Funktionen oder Cross-Origin-Isolation. Sie sollten in jeder Antwort (auch Fehlerseiten und APIs) gesetzt, mit Tools wie securityheaders.com oder Mozilla Observatory geprüft und als Konfigurations-Baseline gepflegt werden.
● Beispiele
- 01
'Strict-Transport-Security: max-age=63072000; includeSubDomains; preload', um nur HTTPS-Zugriffe zu erzwingen.
- 02
'Referrer-Policy: no-referrer' an internen Admin-Endpunkten, um URLs nicht an Dritte zu leaken.
● Häufige Fragen
Was ist HTTP-Sicherheitsheader?
Antwort-Header, die den Browser zu defensivem Verhalten anweisen: HTTPS-Pflicht, Framing-Beschränkungen, Inhaltsrichtlinien und Referer-Kontrolle. Es gehört zur Kategorie Anwendungssicherheit der Cybersicherheit.
Was bedeutet HTTP-Sicherheitsheader?
Antwort-Header, die den Browser zu defensivem Verhalten anweisen: HTTPS-Pflicht, Framing-Beschränkungen, Inhaltsrichtlinien und Referer-Kontrolle.
Wie schützt man sich gegen HTTP-Sicherheitsheader?
Schutzmaßnahmen gegen HTTP-Sicherheitsheader kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für HTTP-Sicherheitsheader?
Übliche alternative Bezeichnungen: Sicherheitsantwort-Header.