computer:web:security_headers
Security Headers
Header | Spezifikation | Doc | Anwendbarkeit | Sane Default | Setzen durch | Google? | Notes | ||
---|---|---|---|---|---|---|---|---|---|
Erste | Aktuelle | Website | Resources | ||||||
X-Frame-Options | RFC 7034 (2013) Microsoft (2009) | Moz | Die durch Server o. Client dynamisch sind | () 1) | DENY SAMEORIGIN | App → View → Immer | Für Webseite | Ersetzt durch `Frame-Options` in CSP Meta-Tags funktionieren nicht [1] |
|
Strict-Transport-Security | RFC 6797 (2012) | Moz | max-age=31536000; includeSubDomains; includeSubDomains nicht, wenn Büronetz mit HTTP-only Geräten. | SSL Endpunkt → Immer | () Nicht nötig, machen preloading | ||||
Referrer-Policy | w3 (2017) | Scott Helme, Moz | CSS | no-referrer strict-origin | App → View → Immer Server → CSS → Immer | Veraltet in CSP | |||
X-Content-Type-Options | Microsoft (2008) | Moz | Probleme mit Bildern? | no-sniff | () Für Resourcen |
1)
Macht wenig Sinn
computer/web/security_headers.txt · Last modified: 2020-11-18 18:11 by 127.0.0.1