HTTP-sikkerhedsheaderkontrol

// HTTP-sikkerhedsheaderkontrol

Forståelse af HTTP-sikkerhedsheadere

HTTP-sikkerhedsheadere er instruktioner sendt af webservere, der fortæller browsere, hvordan de skal håndtere et websteds indhold. De udgør et kritisk forsvarslag mod almindelige webangreb. Strict-Transport-Security (HSTS) tvinger HTTPS-forbindelser, Content-Security-Policy (CSP) forhindrer scriptinjektion, X-Frame-Options blokerer clickjacking, og X-Content-Type-Options stopper MIME-type-sniffingangreb.

Manglende sikkerhedsheadere efterlader websteder sårbare over for velkendte angrebsmønstre. Uden HSTS kan brugere blive nedgraderet til HTTP og aflyttes. Uden CSP kan injicerede scripts stjæle brugerdata. Uden X-Frame-Options kan angribere indlejre dit websted i en usynlig iframe for at narre brugere til at klikke på skjulte knapper.

Sådan forbedrer du din sikkerhedskarakter

Konfigurer sikkerhedsheadere i din webserver (Nginx, Apache, Caddy) eller CDN (Cloudflare, AWS CloudFront). Start med de mest virkningsfulde headere: HSTS med en lang max-age, en restriktiv CSP, X-Frame-Options sat til DENY og X-Content-Type-Options sat til nosniff. De fleste kan tilføjes med en enkelt konfigurationslinje.

FAQ

Hvad er HTTP-sikkerhedsheadere?

HTTP-sikkerhedsheadere er svardirektiver fra webservere, der instruerer browsere i, hvordan de skal opføre sig, når de håndterer indhold. De beskytter mod angreb som cross-site scripting (XSS), clickjacking, MIME-sniffing og protokolnedgraderingsangreb.

Hvad gør hver enkelt sikkerhedsheader?

HSTS tvinger HTTPS, CSP styrer hvilke scripts der må køre, X-Frame-Options forhindrer iframe-indlejring, X-Content-Type-Options stopper MIME-sniffing, Referrer-Policy styrer henvisningsoplysninger, og Permissions-Policy begrænser browserfunktioner som kamera- og mikrofonadgang.

Hvorfor fik mit websted en lav karakter?

Almindelige årsager: manglende Content-Security-Policy (den mest virkningsfulde header), ingen HSTS-header eller manglende X-Frame-Options. Blot at tilføje disse tre headere vil forbedre din karakter betydeligt.

Påvirker sikkerhedsheadere ydeevnen?

Nej. Sikkerhedsheadere tilføjer ubetydelig ekstra belastning — de er blot nogle få ekstra bytes i HTTP-svaret. Ydeevnepåvirkningen er reelt set nul, mens sikkerhedsgevinsten er betydelig.