Wat zijn beveiligingskoppen?
Security headers zijn HTTP response headers die browsers instrueren hoe ze zich moeten gedragen bij het omgaan met de inhoud van een website, waardoor de bescherming tegen algemene webkwetsbaarheden wordt verbeterd. Deze headers helpen aanvallen te voorkomen zoals cross-site scripting (XSS), clickjacking, content injectie en protocol downgrade aanvallen. Juist geconfigureerde beveiligingsheaders zijn essentieel voor de verdediging-diepe beveiligingsstrategieën.Essentiële beveiligingskoppen
Strict-Transport-Security (HSTS)
HTTPS-verbindingen:
Strict-Transport-Security: max-age=31536000; includeSubDomains; preload- Voorkomt protocol downgrade aanvallen
- Blokken gemengde inhoud
- Beschermt tegen SSL-stripping
Content-Security-Policy (CSP)
Controleert het laden van hulpbronnen:
Content-Security-Policy: default-src 'self'; script-src 'self' trusted.com; style-src 'self' 'unsafe-inline'- Voorkomt XSS-aanvallen
- Controleert scriptbronnen
- Blokkeert onbevoegde middelen
X-frame-opties
Voorkomt clickjacking:
X-Frame-Options: DENY
X-Frame-Options: SAMEORIGIN
- Blokkeert site van worden ingelijst
- Beschermt tegen verhaalsmogelijkheden voor UI's
X-Content-Type-opties
Voorkomt MIME snuiven:
X-Content-Type-Options: nosniff- Dwingt de browser om de aangegeven inhoud te respecteren
- Voorkomt scriptinjectie via verkeerd begrepen bestanden
Aanvullende beveiligingskoppen
| Kop | Betreft | Voorbeeldwaarde |
|---|---|---|
| X-XSS-protectie | XSS-filter (legacy) | 1; mode=blok |
| Referentiebeleid | Controle-verwijzingsinfo | strikte oorsprong-wanneer-cross-origine |
| Rechten-Beleid | Functiebeperkingen | geolocatie=(), camera=() |
| Cross-Origin-Opener-Policy | Procesisolatie | dezelfde oorsprong |
| Cross-Origin-Embedder-Policy | Afzondering van hulpbronnen | require-corp |
Uitvoering Voorbeelden
Nginx configuratie
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;
add_header X-Frame-Options "SAMEORIGIN" always;
add_header X-Content-Type-Options "nosniff" always;
add_header Content-Security-Policy "default-src 'self'" always;
Apache-configuratie
Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains"
Header always set X-Frame-Options "SAMEORIGIN"
Header always set X-Content-Type-Options "nosniff"
Beveiligingskoppen en domeingezondheid
Waarom Headers Matter for Domains
- Bescherm gebruikers die uw domein bezoeken
- Voorkomen domein reputatie schade
- Voldoen aan de nalevingseisen
- Verdedigen tegen algemene aanvallen
Beveiligingskop testen
Hulpmiddelen om de uitvoering te controleren:
- securityheaders.com
- Mozilla Observatory
- SSL Labs
- Chrome DevTools Network tabblad
Beste praktijken
1. Begin met HSTS: Essentieel voor HTTPS-handhaving
2. Het uitvoeren van CSP geleidelijk: Beginnen met report-only mode
3. Test grondig: Berichtkoppen kunnen de functionaliteit breken
4. Voorlaadlijsten gebruiken: Verzenden naar browser preload lijsten
5. Monitor schendingen: CSP-rapporteringseindpunten gebruiken
6. Reguliere audits: Veiligheidseisen evolueren
Gemeenschappelijke criteria voor de indeling
| Graad | Typische eisen |
|---|---|
| A+ | Alle kritische headers, HSTS preload |
| A | HSTS, CSP, X-frame-opties, X-Content-type |
| B | Er ontbreken enkele headers |
| C/D | Minimale beveiligingsheaders |
| F | Geen beveiligingskoppen |
Beveiligingsheaders vertegenwoordigen een kritische laag van webapplicatiebeveiliging, die browser-geforceerde bescherming biedt die server-side beveiligingsmaatregelen aanvult.