Als Besucher einer Website, bekommt der Browser als Antwort neben dem HTML auch eine einen HTTP-Response-Header. Dieser gibt Richtlinen vor, wie sich der Browser zu verhalten hat. Es kann somit verboten werden iFrames von fremden Domains zu laden, auch das Ausführen von fremdenden Scripten (XSS) kann unterbunden werden.
Mit X-Frame-Options (XFO) unterbinde ich das Laden der eigenen Seite auf fremden Seiten über ein iFrame. Das Setzen von X-XSS-Protection hilft XSS-Angriffe zu verhindern, indem das Ausführen von fremden JS-Code unterbunden wird. X-Content-Type-Options, kann für Browsern bestimmte Dateiformate unterbinden lassen. Mit Strict-Transport-Security erlaube ich nur HTTPS Aufrufe und die Content-Security-Policy lege ich fest, welche Inhaltstypen von welchen Quellen ausgeliefert werden dürfen.
Header über htaccess-Datei setzen:
<IfModule mod_headers.c>
Header set X-Frame-Options „DENY“
Header set X-XSS-Protection „1; mode=block“ Header set X-Content-Type-Options „nosniff“
Header set Strict-Transport-Security „max-age=31536000; includeSubDomains“
Header set Content-Security-Policy „default-src ’self‘; script-src ’self‘ https://www.google.com; img-src ’self‘; style-src ’self‘; font-src ’self‘
</IfModul>