Säkerhetsheaders (Security Headers) är direktiv som skickar indikationer om vilka säkerhetsregler som skall gälla för din hemsida till webbläsaren som besöker den. Huruvida webbläsaren sedan följer reglerna eller ej är upp till webbläsaren. Moderna webbläsare har stöd för de flesta säkerhetsheaders men inte alla. Under respektive sektion nedan hittar du en länk till information om vilka webbläsare som stödjer respektive header.
Dessa headers kan sättas via filen .htaccess som ligger i hemsidans dokumentrot. Vilken dokumentrot en domän har kan du se i via ikonen Domäner i cPanel. Vi har även en guide som beskriver hur du gör detta här.
Säkerhetsheaders bör köras före andra regler och skall därmed ligga i början av .htaccess-filen.
Observera att implementation av säkerhetsheaders kan påverka hemsidans funktionalitet. Utvärdera noggrant resultatet efter att varje header implementerats genom att testa så att essentiella funktioner på hemsidan fortfarande fungerar.
HTTP Strict-Transport-Security (HSTS)
HSTS-headern (HTTP Strict Transport Security) skickar en signal till webbläsaren som besöker hemsidan om att all trafik till hemsidan skall gå via HTTPS. För att detta ska fungera krävs att ni redan har ett aktivt SSL-certifikat. Här är ett exempel på hur en HSTS-header kan se ut:
Header always set Strict-Transport-Security "max-age=63072000; includeSubDomains; preload" env=HTTPSLäs gärna mer om HSTS här.
Saknar hemsidan SSL-certifikat kan ett nytt ordnas via Let’s Encrypt eller AutoSSL.
Content-Security-Policy
CSP-headern (Content Security Policy) skickar en signal till webbläsaren om varifrån hemsidan får ladda in resurser. Denna policy bör implementeras av någon som är väl bekant med hemsidan då en alltför strikt policy kan resultera i att hemsidan slutar fungera. Använder man exempelvis externa script och bilder kommer dessa sluta visas på hemsidan om man endast tillåter att script och bilder laddas in från den egna domänen.
Här är ett exempel på en policy som tillåter att resurser laddas in från den egna domänen samt https://cdn.example.com:
Header set Content-Security-Policy "default-src https://cdn.example.com; child-src 'none'; object-src 'none'"Mer information om CSP samt information om vilka webbläsare som stödjer CSP finns här.
X-Content-Type-Options
Denna header instruerar webbläsaren att använda den MIME-typ som servern deklarerat och inget annat. Syftet är att förhindra att besökare får hem filer i något annat format än de var ämnade att levereras i. Exempel:
Header set X-Content-Type-Options "nosniff"Mer information om X-Content-Type-Options samt information om vilka webbläsare som stöds finns här.
X-Frame-Options
Med denna header skickar man instruktioner till webbläsaren om huruvida hemsidan får visas i inbäddat format, exempelvis i en iframe eller ett embed-objekt. Syftet är att förhindra att någon bäddar in er hemsida i en annan hemsida. Sådan inbäddning kan ibland göras för att försöka stjäla information från besökare.
Följande exempel begränsar inbäddning till att endast vara tillåten från den egna domänen:
Header set X-Frame-Options "SAMEORIGIN"Läs mer om X-Frame-Options och vilka webbläsare som stödjer denna header här.
Referrer-Policy
Denna header skickar instruktioner till webbläsaren om när en annan header, headern ”Referrer”, ska sättas och inte. Headern ”Referrer” innehåller information om vilken sida man tidigare varit på, alltså vilken sida som hänvisade till (referred) den nuvarande sidan. Syftet med denna policy är att hindra att information läcker från en hemsida till en annan. Vissa URLar innehåller exempelvis användarnamn och denna information vill man kanske inte skicka vidare till andra hemsidor.
Här är ett exempel på en Referrer-Policy som endast tillåter att referer sätts från den egna domänen:
Header set Referrer-Policy "same-origin"Läs mer om denna Referrer-Policy samt se vilka webbläsare som stödjer denna header här.