Security Headers

Header Spezifikation Doc Anwendbarkeit Sane
Default 		Setzen durch Google? Notes
Erste Aktuelle Website Resources
X-Frame-Options RFC 7034 (2013)
Microsoft (2009) 		Moz (V)
Die durch Server o. Client dynamisch sind 		((V)) 1) DENY
SAMEORIGIN 		App → View → Immer (V)
Für Webseite 		Ersetzt durch `Frame-Options` in CSP
Meta-Tags funktionieren nicht [1]
Strict-Transport-Security RFC 6797 (2012) Moz (V) (V) max-age=31536000; includeSubDomains;
(!) includeSubDomains nicht, wenn Büronetz mit HTTP-only Geräten. 		SSL Endpunkt → Immer ((X))
Nicht nötig, machen preloading
Referrer-Policy w3 (2017) Scott Helme, Moz (V) CSS no-referrer
strict-origin 		App → View → Immer
Server → CSS → Immer 		(X) Veraltet in CSP
X-Content-Type-Options Microsoft (2008) Moz (V) (V)
Probleme mit Bildern? 		no-sniff ((V))
Für Resourcen
[1] https://github.com/OWASP/CheatSheetSeries/blob/master/cheatsheets/Clickjacking_Defense_Cheat_Sheet.md#common-defense-mistakes
1)
Macht wenig Sinn