Wat zijn security headers?

Security headers vormen een cruciaal onderdeel van websitebeveiliging. Wanneer ze correct zijn ingesteld, beschermen ze jouw site tegen verschillende cyberaanvallen, zoals cross-site scripting en code-injectie. Veel mensen zien deze headers helaas over het hoofd, waardoor hackers gemakkelijk toegang hebben tot websites. Maar wat zijn security headers precies? Kort gezegd, HTTP Response Headers geven de browser instructies over hoe deze bepaalde veiligheidsregels moet toepassen bij het laden van een website. Wanneer een bezoeker jouw website opent, verzendt de server deze headers, die zorgen voor extra beveiliging tijdens de communicatie tussen browser en website. In deze blogpost bespreken we enkele essentiële security headers en hun voordelen.

Wat doen security headers?

Security headers beschermen gebruikers tegen veelvoorkomende beveiligingsrisico’s. Bijvoorbeeld, de header X-XSS-Protection voorkomt dat kwaadaardige scripts in jouw website worden ingesloten, terwijl de X-Frame-Options header clickjacking voorkomt door te voorkomen dat jouw website in een iframe wordt geladen. Bovendien dwingen headers zoals X-Content-Type-Options de browser om niet te ‘raden’ welk bestandstype er geladen wordt. Dit voorkomt dat schadelijke bestanden worden uitgevoerd. Voor maximale veiligheid raden experts aan om security headers toe te voegen via het .htaccess-bestand. Met behulp van online tools zoals Probely kun je eenvoudig testen welke headers jouw website al heeft en welke nog ontbreken.

Essentiële security headers

Er zijn verschillende security headers die jouw website helpen beveiligen. De header Upgrade-Insecure-Requests zorgt ervoor dat HTTP-verzoeken automatisch worden omgezet naar HTTPS, waardoor de veiligheid wordt verhoogd. De Permissions-Policy header geeft websites de mogelijkheid om de toegang tot bepaalde functies te beperken. Daarnaast voorkomt de Referrer-Policy header dat de referrer-informatie wordt gedegradeerd van HTTPS naar HTTP, wat het risico op lekken van informatie vermindert. Al deze headers werken samen om jouw website veiliger te maken, wat essentieel is in een tijd waarin cyberaanvallen steeds vaker voorkomen.

Strict-Transport-Security met een max-age van 31536000, Content-Security-Policy met de optie "upgrade-insecure-requests" en X-Content-Type-Options met de waarde "nosniff". Als je merkt dat je website kwetsbaar is, kan het zinvol zijn om een expert in te schakelen om de nodige headers toe te voegen en jouw website te beschermen tegen hackers.

Een voorbeeld van een correcte configuratie

Een correcte configuratie van security headers is belangrijk om je website optimaal te beveiligen. Een voorbeeld van zo’n configuratie is het gebruik van de volgende instellingen:

Header always set Strict-Transport-Security: "max-age=31536000" env=HTTPS
Header always set Content-Security-Policy "upgrade-insecure-requests"
Header always set X-Content-Type-Options "nosniff"
Header always set X-XSS-Protection "1; mode=block"
Header always set Expect-CT "max-age=7776000, enforce"
Header always set Referrer-Policy: "no-referrer-when-downgrade"
Header always set X-Frame-Options: "SAMEORIGIN"
Header always set Permissions-Policy: ""

Door deze instellingen te configureren in je .htaccess-bestand, geef je browsers duidelijke veiligheidsrichtlijnen die jouw website beschermen.

Heb jij de test uitgevoerd en ben je tot de conclusie gekomen dat je website vatbaar is voor hackers? Contacteer The Other Concept, en wij installeren de nodige beveiligingsheaders op jouw website.