{"id":19594,"date":"2023-08-14T19:08:26","date_gmt":"2023-08-14T18:08:26","guid":{"rendered":"https:\/\/www.oderland.se\/support\/?post_type=ht_kb&p=19594"},"modified":"2025-01-14T11:48:25","modified_gmt":"2025-01-14T10:48:25","slug":"sakerhetsheaders","status":"publish","type":"ht_kb","link":"https:\/\/www.oderland.se\/support\/artikel\/sakerhetsheaders\/","title":{"rendered":"Hur hanterar jag s\u00e4kerhetsheaders?"},"content":{"rendered":"\n

S\u00e4kerhetsheaders (Security Headers) \u00e4r direktiv som skickar indikationer om vilka s\u00e4kerhetsregler som skall g\u00e4lla f\u00f6r din hemsida till webbl\u00e4saren som bes\u00f6ker den. Huruvida webbl\u00e4saren sedan f\u00f6ljer reglerna eller ej \u00e4r upp till webbl\u00e4saren. Moderna webbl\u00e4sare har st\u00f6d f\u00f6r de flesta s\u00e4kerhetsheaders men inte alla. Under respektive sektion nedan hittar du en l\u00e4nk till information om vilka webbl\u00e4sare som st\u00f6djer respektive header.<\/p>\n\n\n\n

Dessa headers kan s\u00e4ttas via filen .htaccess<\/code> som ligger i hemsidans dokumentrot. Vilken dokumentrot en dom\u00e4n har kan du se i via ikonen Dom\u00e4ner<\/code> i cPanel<\/a>. Vi har \u00e4ven en guide som beskriver hur du g\u00f6r detta h\u00e4r<\/a>.<\/p>\n\n\n\n

S\u00e4kerhetsheaders b\u00f6r k\u00f6ras f\u00f6re andra regler och skall d\u00e4rmed ligga i b\u00f6rjan av .htaccess<\/code>-filen.<\/p>\n\n\n\n

Observera att implementation av s\u00e4kerhetsheaders kan p\u00e5verka hemsidans funktionalitet. Utv\u00e4rdera noggrant resultatet efter att varje header implementerats genom att testa s\u00e5 att essentiella funktioner p\u00e5 hemsidan fortfarande fungerar.<\/p>\n\n\n\n

HTTP Strict-Transport-Security (HSTS)<\/h2>\n\n\n\n

HSTS-headern (HTTP Strict Transport Security) skickar en signal till webbl\u00e4saren som bes\u00f6ker hemsidan om att all trafik till hemsidan skall g\u00e5 via HTTPS. F\u00f6r att detta ska fungera kr\u00e4vs att ni redan har ett aktivt SSL-certifikat. H\u00e4r \u00e4r ett exempel p\u00e5 hur en HSTS-header kan se ut: <\/p>\n\n\n\n

Header always set Strict-Transport-Security \"max-age=63072000; includeSubDomains; preload\" env=HTTPS<\/code><\/pre>\n\n\n\n
L\u00e4s g\u00e4rna mer om HSTS h\u00e4r<\/a>.<\/p>\n\n\n\n
Saknar hemsidan SSL-certifikat kan ett nytt ordnas via AutoSSL<\/a>.<\/p>\n\n\n\n
Content-Security-Policy<\/h2>\n\n\n\n
CSP-headern (Content Security Policy) skickar en signal till webbl\u00e4saren om varifr\u00e5n hemsidan f\u00e5r ladda in resurser. Denna policy b\u00f6r implementeras av n\u00e5gon som \u00e4r v\u00e4l bekant med hemsidan d\u00e5 en alltf\u00f6r strikt policy kan resultera i att hemsidan slutar fungera. Anv\u00e4nder man exempelvis externa script och bilder kommer dessa sluta visas p\u00e5 hemsidan om man endast till\u00e5ter att script och bilder laddas in fr\u00e5n den egna dom\u00e4nen.<\/p>\n\n\n\n
H\u00e4r \u00e4r ett exempel p\u00e5 en policy som till\u00e5ter att resurser laddas in fr\u00e5n den egna dom\u00e4nen samt https:\/\/cdn.example.com:<\/p>\n\n\n\n
Header set Content-Security-Policy \"default-src https:\/\/cdn.example.com; child-src 'none'; object-src 'none'\"<\/code><\/pre>\n\n\n\n
Mer information om CSP samt information om vilka webbl\u00e4sare som st\u00f6djer CSP finns h\u00e4r<\/a>.<\/p>\n\n\n\n
X-Content-Type-Options<\/h2>\n\n\n\n
Denna header instruerar webbl\u00e4saren att anv\u00e4nda den MIME-typ som servern deklarerat och inget annat. Syftet \u00e4r att f\u00f6rhindra att bes\u00f6kare f\u00e5r hem filer i n\u00e5got annat format \u00e4n de var \u00e4mnade att levereras i. Exempel:<\/p>\n\n\n\n
Header set X-Content-Type-Options \"nosniff\"<\/code><\/pre>\n\n\n\n
Mer information om X-Content-Type-Options samt information om vilka webbl\u00e4sare som st\u00f6ds finns h\u00e4r<\/a>.<\/p>\n\n\n\n
X-Frame-Options<\/h2>\n\n\n\n
Med denna header skickar man instruktioner till webbl\u00e4saren om huruvida hemsidan f\u00e5r visas i inb\u00e4ddat format, exempelvis i en iframe eller ett embed-objekt. Syftet \u00e4r att f\u00f6rhindra att n\u00e5gon b\u00e4ddar in er hemsida i en annan hemsida. S\u00e5dan inb\u00e4ddning kan ibland g\u00f6ras f\u00f6r att f\u00f6rs\u00f6ka stj\u00e4la information fr\u00e5n bes\u00f6kare.<\/p>\n\n\n\n
F\u00f6ljande exempel begr\u00e4nsar inb\u00e4ddning till att endast vara till\u00e5ten fr\u00e5n den egna dom\u00e4nen:<\/p>\n\n\n\n
Header set X-Frame-Options \"SAMEORIGIN\"<\/code><\/pre>\n\n\n\n
L\u00e4s mer om X-Frame-Options och vilka webbl\u00e4sare som st\u00f6djer denna header h\u00e4r<\/a>.<\/p>\n\n\n\n
Referrer-Policy<\/h2>\n\n\n\n
Denna header skickar instruktioner till webbl\u00e4saren om n\u00e4r en annan header, headern ”Referrer”, ska s\u00e4ttas och inte. Headern ”Referrer” inneh\u00e5ller information om vilken sida man tidigare varit p\u00e5, allts\u00e5 vilken sida som h\u00e4nvisade till (referred) den nuvarande sidan.  Syftet med denna policy \u00e4r att hindra att information l\u00e4cker fr\u00e5n en hemsida till en annan. Vissa URLar inneh\u00e5ller exempelvis anv\u00e4ndarnamn och denna information vill man kanske inte skicka vidare till andra hemsidor.<\/p>\n\n\n\n
H\u00e4r \u00e4r ett exempel p\u00e5 en Referrer-Policy som endast till\u00e5ter att referer s\u00e4tts fr\u00e5n den egna dom\u00e4nen:<\/p>\n\n\n\n
Header set Referrer-Policy \"same-origin\"<\/code><\/pre>\n\n\n\n
L\u00e4s mer om denna Referrer-Policy samt se vilka webbl\u00e4sare som st\u00f6djer denna header h\u00e4r<\/a>. <\/p>\n","protected":false},"excerpt":{"rendered":"
S\u00e4kerhetsheaders (Security Headers) \u00e4r direktiv som skickar indikationer om vilka s\u00e4kerhetsregler som skall g\u00e4lla f\u00f6r din hemsida till webbl\u00e4saren som bes\u00f6ker den. Huruvida webbl\u00e4saren sedan f\u00f6ljer reglerna eller ej \u00e4r upp till webbl\u00e4saren. Moderna webbl\u00e4sare har st\u00f6d f\u00f6r de flesta s\u00e4kerhetsheaders men inte alla. Under respektive sektion nedan hittar du…<\/p>\n","protected":false},"author":32,"comment_status":"open","ping_status":"closed","template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"ht-kb-category":[125],"ht-kb-tag":[],"class_list":["post-19594","ht_kb","type-ht_kb","status-publish","format-standard","hentry","ht_kb_category-sakerhet"],"acf":[],"_links":{"self":[{"href":"https:\/\/www.oderland.se\/support\/wp-json\/wp\/v2\/ht-kb\/19594","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.oderland.se\/support\/wp-json\/wp\/v2\/ht-kb"}],"about":[{"href":"https:\/\/www.oderland.se\/support\/wp-json\/wp\/v2\/types\/ht_kb"}],"author":[{"embeddable":true,"href":"https:\/\/www.oderland.se\/support\/wp-json\/wp\/v2\/users\/32"}],"replies":[{"embeddable":true,"href":"https:\/\/www.oderland.se\/support\/wp-json\/wp\/v2\/comments?post=19594"}],"version-history":[{"count":7,"href":"https:\/\/www.oderland.se\/support\/wp-json\/wp\/v2\/ht-kb\/19594\/revisions"}],"predecessor-version":[{"id":23874,"href":"https:\/\/www.oderland.se\/support\/wp-json\/wp\/v2\/ht-kb\/19594\/revisions\/23874"}],"wp:attachment":[{"href":"https:\/\/www.oderland.se\/support\/wp-json\/wp\/v2\/media?parent=19594"}],"wp:term":[{"taxonomy":"ht_kb_category","embeddable":true,"href":"https:\/\/www.oderland.se\/support\/wp-json\/wp\/v2\/ht-kb-category?post=19594"},{"taxonomy":"ht_kb_tag","embeddable":true,"href":"https:\/\/www.oderland.se\/support\/wp-json\/wp\/v2\/ht-kb-tag?post=19594"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}