Security Headers er direktiver som sender indikasjoner om hvilke sikkerhetsregler som skal gjelde for nettstedet ditt til nettleseren som besøker det. Om nettleseren da følger reglene eller ikke er opp til nettleseren. Moderne nettlesere støtter de fleste, men ikke alle sikkerhetshoder. Under hver seksjon nedenfor finner du en lenke til informasjon om hvilke nettlesere som støtter hver overskrift.
Disse overskriftene kan settes via filen.htaccess som ligger i nettstedets dokumentrot. Du kan se hvilken dokumentrot et domene har via ikonetDomäner i cPanel . Vi har også en guide som beskriver hvordan du gjør dette her .
Sikkerhetshoder bør kjøres før andre regler og bør derfor være i begynnelsen av.htaccess – fil.
Vær oppmerksom på at implementering av sikkerhetshoder kan påvirke nettsidens funksjonalitet. Evaluer resultatene nøye etter at hver overskrift er implementert ved å teste at viktige funksjoner på nettstedet fortsatt fungerer.
HTTP Strict Transport Security (HSTS)
HSTS-headeren (HTTP Strict Transport Security) sender et signal til nettleseren som besøker nettsiden om at all trafikk til nettsiden må gå via HTTPS. For at dette skal fungere, må du allerede ha et aktivt SSL-sertifikat. Her er et eksempel på hvordan en HSTS-header kan se ut:
Header always set Strict-Transport-Security "max-age=63072000; includeSubDomains; preload" env=HTTPSLes mer om HSTS her .
Dersom nettsiden mangler et SSL-sertifikat, kan et nytt ordnes via AutoSSL .
Innhold-Sikkerhet-Retningslinjer
CSP-headeren (Content Security Policy) sender et signal til nettleseren om hvor nettstedet har lov til å laste ressurser fra. Denne policyen bør implementeres av noen som er kjent med nettstedet, da en altfor streng policy kan føre til at nettstedet slutter å fungere. Bruker du for eksempel eksterne skript og bilder, vil disse slutte å vises på nettsiden dersom du kun lar script og bilder lastes fra ditt eget domene.
Her er et eksempel på en policy som lar ressurser lastes fra eget domene så vel som https://cdn.example.com:
Header set Content-Security-Policy "default-src https://cdn.example.com; child-src 'none'; object-src 'none'"Mer informasjon om CSP samt informasjon om hvilke nettlesere som støtter CSP finner du her .
X-Content-Type-Options
Denne overskriften instruerer nettleseren til å bruke MIME-typen som er deklarert av serveren og ingenting annet. Målet er å hindre besøkende i å motta filer i et annet format enn det de var ment å leveres i. Eksempel:
Header set X-Content-Type-Options "nosniff"Mer informasjon om X-Content-Type-Options samt informasjon om hvilke nettlesere som støttes finner du her .
X-Frame-alternativer
Med denne overskriften sendes instruksjoner til nettleseren om nettsiden kan vises i et innebygd format, for eksempel i en iframe eller et innebygd objekt. Hensikten er å hindre noen fra å bygge inn nettsiden din i en annen nettside. Slik innebygging kan noen ganger gjøres for å prøve å stjele informasjon fra besøkende.
Følgende eksempel begrenser innbygging til kun å være tillatt fra eget domene:
Header set X-Frame-Options "SAMEORIGIN"Les mer om X-Frame-Options og hvilke nettlesere som støtter denne overskriften her .
Retningslinjer for henvisninger
Denne overskriften sender instruksjoner til nettleseren om når en annen overskrift, «Referrer»-overskriften, bør og ikke bør settes. «Henviser»-overskriften inneholder informasjon om hvilken side du tidligere var på, dvs. hvilken side som refererte til (henviste) til gjeldende side. Formålet med denne policyen er å forhindre at informasjon lekker fra en nettside til en annen. Noen nettadresser inneholder for eksempel brukernavn, og du vil kanskje ikke gi denne informasjonen videre til andre nettsteder.
Her er et eksempel på en henvisningspolicy som bare tillater at henvisninger kan angis fra deres eget domene:
Header set Referrer-Policy "same-origin"Les mer om denne henvisningspolicyen og se hvilke nettlesere som støtter denne overskriften her .