Er is getest of onderstaande HTTP security headers zijn ingesteld.

• X-Frame-Options
  Hiermee voorkom je het ‘framen’ van een website. Het voorkomen van framen beschermt bezoekers tegen aanvallen zoals clickjacking.
• X-Content-Type-Options
  MIME type sniffing wordt geblokkeerd indien de waarde is gezet op nosniff. Het voorkomt een MIME confusion attack, waarbij de aanvaller de content van een bestand zodanig manipuleert dat de browser deze behandelt als een ander soort bestand, bijvoorbeeld als een een uitvoerbaar bestand.
• X-XSS-Protection
  Cross site scripting (XSS) wordt gebruikt om websites mee te hacken. Met XSS injecteert de hacker, bijvoorbeeld via een formulier op de website, kwaadaardige code in een website die bezoekers van deze website kan besmetten.
  Als een header voor X-XSS-Protection aanwezig is, wordt ook meteen gekeken naar de ingestelde waarde: 0, 1 of 1; mode=block, waarbij de laatste de aanbevolen instelling is.  Als dan een cross-site scripting aanval wordt gedetecteerd, dan zal de browser de weergave van de pagina blokkeren.
• Referrer-Policy
  Hiermee wordt ingesteld of de browser informatie mag meegeven over vanaf welke pagina de bezoeker komt. Als een bezoeker naar een andere site gaat, dan kan worden opgeslagen vanaf welke website deze komt.
  Deze optie lijkt vooral met privacybescherming te maken te hebben, maar heeft toch ook te maken met veiligheid. Informatie kan worden doorgegeven naar HTTP websites (dus websites zonder SSL-certificaat) of gelekt worden naar derden die de verbinding afluisteren.

 

Links

Een uitgebreidere test is beschikbaar op Security Headers.