Wiki

A universe of ideas

User Tools

Site Tools

You are here: A universe of ideas » Computer » Modern Web » Security Headers
Trace: Security Headers
computer:web:security_headers

Security Headers

Header Spezifikation Doc Anwendbarkeit Sane
Default 		Setzen durch Google? Notes
Erste Aktuelle Website Resources
X-Frame-Options RFC 7034 (2013)
Microsoft (2009) 		Moz (V)
Die durch Server o. Client dynamisch sind 		((V)) 1) DENY
SAMEORIGIN 		App → View → Immer (V)
Für Webseite 		Ersetzt durch `Frame-Options` in CSP
Meta-Tags funktionieren nicht [1]
Strict-Transport-Security RFC 6797 (2012) Moz (V) (V) max-age=31536000; includeSubDomains;
(!) includeSubDomains nicht, wenn Büronetz mit HTTP-only Geräten. 		SSL Endpunkt → Immer ((X))
Nicht nötig, machen preloading
Referrer-Policy w3 (2017) Scott Helme, Moz (V) CSS no-referrer
strict-origin 		App → View → Immer
Server → CSS → Immer 		(X) Veraltet in CSP
X-Content-Type-Options Microsoft (2008) Moz (V) (V)
Probleme mit Bildern? 		no-sniff ((V))
Für Resourcen
[1] https://github.com/OWASP/CheatSheetSeries/blob/master/cheatsheets/Clickjacking_Defense_Cheat_Sheet.md#common-defense-mistakes
1)
Macht wenig Sinn
computer/web/security_headers.txt · Last modified: 2020-11-18 18:11 by 127.0.0.1