Security headers er direktiver, der sender indikationer om, hvilke sikkerhedsregler der skal gælde for din hjemmeside, til den browser, der besøger den. Om browseren så følger reglerne eller ej, er op til browseren. Moderne browsere understøtter de fleste, men ikke alle sikkerhedsheadere. Under hvert afsnit nedenfor finder du et link til information om, hvilke browsere der understøtter hver header.
Disse overskrifter kan indstilles via filen .htaccess, der ligger i dokumentroden på hjemmesiden. Du kan se, hvilken dokumentrod et domæne har, via ikonet Domäner i cPanel. Vi har også en guide, der beskriver, hvordan du gør det her.
Sikkerhedsoverskrifter skal udføres før andre regler og bør derfor placeres i begyndelsen af filen .htaccess.
Bemærk venligst, at implementeringen af sikkerhedsheaders kan påvirke hjemmesidens funktionalitet. Evaluer omhyggeligt resultaterne, efter at hver header er blevet implementeret, ved at teste, at de væsentlige funktioner på hjemmesiden stadig fungerer.
HTTP streng transportsikkerhed (HSTS)
HSTS-headeren (HTTP Strict Transport Security) sender et signal til den browser, der besøger hjemmesiden, om at al trafik til hjemmesiden skal gå via HTTPS. For at dette kan fungere, skal du allerede have et aktivt SSL-certifikat. Her er et eksempel på, hvordan en HSTS-header kan se ud:
Header always set Strict-Transport-Security "max-age=63072000; includeSubDomains; preload" env=HTTPSLæs mere om HSTS her.
Hvis hjemmesiden ikke har noget SSL-certifikat, kan du få et nyt via AutoSSL.
Sikkerhedspolitik for indhold
Content Security Policy (CSP) headeren sender et signal til browseren om, hvor hjemmesiden kan indlæse ressourcer fra. Denne politik bør implementeres af en person, der er fortrolig med hjemmesiden, da en alt for streng politik kan resultere i, at hjemmesiden ophører med at fungere. Hvis du f.eks. bruger eksterne scripts og billeder, vil de ikke længere blive vist på hjemmesiden, hvis du kun tillader, at scripts og billeder indlæses fra dit eget domæne.
Her er et eksempel på en politik, der gør det muligt at indlæse ressourcer fra dit eget domæne og https://cdn.example.com:
Header set Content-Security-Policy "default-src https://cdn.example.com; child-src 'none'; object-src 'none'"Du kan finde flere oplysninger om CSP og om, hvilke browsere der understøtter CSP, her.
X-Content-Type-Options
Denne header instruerer browseren i at bruge den MIME-type, der er angivet af serveren, og intet andet. Formålet er at forhindre besøgende i at modtage filer i et andet format end det, de var beregnet til at blive leveret i. Eksempel:
Header set X-Content-Type-Options "nosniff"Mere information om X-Content-Type-Options og information om understøttede browsere kan findes her.
X-Frame muligheder
Denne header sender instruktioner til browseren om, hvorvidt hjemmesiden kan vises i et indlejret format, f.eks. i en iframe eller et indlejret objekt. Formålet er at forhindre, at nogen indlejrer din hjemmeside i en anden hjemmeside. En sådan indlejring kan nogle gange gøres for at forsøge at stjæle oplysninger fra besøgende.
Følgende eksempel begrænser indlejring til kun at være tilladt fra dit eget domæne:
Header set X-Frame-Options "SAMEORIGIN"Læs mere om X-Frame-Options, og hvilke browsere der understøtter denne header her.
Politik for henvisninger
Denne header sender instruktioner til browseren om, hvornår den skal indstille en anden header, ‘Referrer’-headeren, og hvornår den ikke skal. Headeren “Referrer” indeholder oplysninger om, hvilken side du tidligere har besøgt, dvs. hvilken side der henviste til den aktuelle side. Formålet med denne politik er at forhindre lækage af oplysninger fra en hjemmeside til en anden. Nogle URL’er indeholder f.eks. brugernavne, og du ønsker måske ikke at videregive disse oplysninger til andre hjemmesider.
Her er et eksempel på en Referrer Policy, der kun tillader referencer fra dit eget domæne:
Header set Referrer-Policy "same-origin"Læs mere om denne Referrer Policy og se, hvilke browsere der understøtter denne header her.