Security Header

Security Header sind spezielle Anweisungen, die ein Webserver an den Browser sendet, sobald eine Website aufgerufen wird. Sie geben dem Browser klare Regeln, wie bestimmte Inhalte geladen und verarbeitet werden dürfen. So wird verhindert, dass schädliche Skripte ausgeführt oder fremde Inhalte unkontrolliert eingebunden werden.

Einige wichtige Security Header sind:

• Content-Security-Policy (CSP): Legt fest, welche Quellen für Skripte, Bilder oder Styles erlaubt sind. So wird verhindert, dass Schadcode von externen Quellen eingebunden wird.
• X-Frame-Options: Schützt vor Clickjacking, indem er festlegt, ob eine Website in einem Frame oder iFrame angezeigt werden darf.
• X-Content-Type-Options: Verhindert MIME Type Sniffing und sorgt dafür, dass der Browser Dateien nur mit dem vom Server angegebenen Typ interpretiert.
• Strict-Transport-Security (HSTS): Erzwingt, dass die Website nur über HTTPS aufgerufen wird, um Datenverschlüsselung sicherzustellen.
• Referrer-Policy: Steuert, welche Informationen über die Herkunftsseite beim Anklicken von Links weitergegeben werden.

Durch die Verwendung dieser Header wird eine zusätzliche Sicherheitsebene geschaffen, die Angriffe bereits auf Browserebene abwehrt.

Wenn du WordPress nutzt, kannst du diese Header alternativ über Plugins wie z.B. „Headers Security Advanced & HSTS WP“ einfügen, ohne in die Serverkonfiguration eingreifen zu müssen.