Website security headers zijn een fundamenteel onderdeel van de websitebeveiliging. Bij implementatie beschermen ze je website tegen verschillende soorten cyberaanvallen zoals cross site scripting, code-injectie, clickjacking, etc. Het toepassen van beveiliging door security headers wordt vaak vergeten bij websites. Als je dit goed doet, zorg je voor een extra laag van bescherming tegen hackers.
Wat zijn security headers?
Wanneer iemand een site bezoekt via de browser, reageert de server met HTTP Response Headers. Deze headers geven aan de browser aan hoe deze zich moet gedragen tijdens de communicatie met de site. Deze headers bestaan voornamelijk uit metadata. Je kunt deze headers gebruiken om de manier van communiceren aan te geven tussen de browser en de webserver en daarnaast de website beveiliging mee te vebeteren.
Testen van de security headers van jouw website
Via deze online tool kun je de security headers van jouw website testen. Als je niets aanpast, ziet het resultaat er zo uit:
Voeg htaccess regels toe voor betere website beveiliging
Je kunt de security headers aanpassen door het .htaccess bestand van jouw website aan te passen wanneer je de Apache webserver gebruikt. Het kan zijn dat je dit aan je webdeveloper of webhostingpartij moet vragen.
Als je onderstaande regels aan jouw .htaccess bestand toevoegd, verbeter je je website beveiliging al flink:
ServerSignature Off
<IfModule mod_headers.c>
Header always set X-Frame-Options "SAMEORIGIN"
Header always set X-XSS-Protection "1; mode=block"
Header always set X-Content-Type-Options "nosniff"
Header set Referrer-Policy "no-referrer-when-downgrade"
Header set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"
</IfModule>
Hieronder het resultaat van de test na het toevoegen van bovenstaande regels aan het .htaccess bestand:
Je ziet dat er nog steeds ruimte is voor verbetering, gelukkig zijn er al wel een hoop zaken aangepakt door deze wijzigingen.
Een uitgebreide uitleg van de verschillende soorten security headers vind je hier.