Content Security Policy Header

Janl · 27. August 2016 13:56

Wer von uns nutzt das schon?

Mozilla hat ein Tool veröffentlicht, wo man nachsehen kann, wie es mit der Sicherheit von Webseiten steht.

http://www.heise.de/newsticker/meldung/ … 06197.html

Ich habe es weiter ausprobiert, es macht durchaus Sinn.

Erstens braucht man HTTPS. Dann folgende HTTPS Anweisungen für Apache in Plesk

Hier klicken, um den Code zum Kopieren zu markieren

[== apache ==]
Header always add Strict-Transport-Security max-age=15768000;includeSubDomains;preload
Header always set X-Frame-Options: SAMEORIGIN
Header always set X-Content-Type-Options: nosniff

Und dann in der htaccess

Hier klicken, um den Code zum Kopieren zu markieren

[== htaccess ==]
<IfModule mod_headers.c>
  Header set X-Content-Type-Options nosniff
  Header set X-XSS-Protection "1; mode=block"
  Header set Content-Security-Policy "default-src 'self'; font-src 'self' https://fonts.googleapis.com;"
</IfModule>

Beachtet, dass es meine Einstellungen sind, sucht im Internet die verschiedene Einstellungen für jede Zeile, es gibt viele Möglichkeiten.

MfG
Jan

Beitrag geändert von Janl (28. August 2016 00:10)

Andynium · 28. August 2016 21:32

Janl schrieb:

Mozilla hat ein Tool veröffentlicht, wo man nachsehen kann, wie es mit der Sicherheit von Webseiten steht.
http://www.heise.de/newsticker/meldung/ … 06197.html

Danke dir für den Beitrag. Hatte dies auch gelesen und für einen Repost hier vorgesehen wink .

Das Tool namens Observatory findet ihr hier

https://observatory.mozilla.org/

Janl schrieb:

Dann folgende HTTPS Anweisungen für Apache in Plesk
Hier klicken, um den Code zum Kopieren zu markieren
[== apache ==]
Header always add Strict-Transport-Security max-age=15768000;includeSubDomains;preload
Header always set X-Frame-Options: SAMEORIGIN
Header always set X-Content-Type-Options: nosniff

Da nicht alle Hoster Plesk-Zugriff anbieten, lässt sich auch dieser Teil via .htaccess erledigen wink

Hier klicken, um den Code zum Kopieren zu markieren

Header set Strict-Transport-Security "max-age=31556926, includeSubDomains"
Header always append X-Frame-Options SAMEORIGIN
Header set X-Content-Type-Options "nosniff"

http://www.guntiahoster.de/blog/2013/al … icherheit/
http://web-development-blog.de/x-frame-options/

Beitrag geändert von Andynium (29. August 2016 22:27)

Janl · 28. August 2016 21:51

Hallo Cyberman,

ich habe grade erfahren, dass "DENY" besser ersetzt wird mit "sameorigin", weil gerade in CMSMS dann einiges nicht mehr funktioniert.

Weiter sollte jeder gut kontrollieren, von wo Scripte nachgeladen werden
Zu das:

Hier klicken, um den Code zum Kopieren zu markieren

[== apache ==]
 Header set Content-Security-Policy "default-src 'self'; font-src 'self' [url]https://fonts.googleapis.com[/url];"

muss

Hier klicken, um den Code zum Kopieren zu markieren

[== htaccess ==]
 script-src 'self'

und alle Sites, von denen Scripte geladen werden - das ist ein wenig suchen.

MfG
Jan

Beitrag geändert von Janl (28. August 2016 21:52)

Andynium · 29. August 2016 22:34

Janl schrieb:

ich habe grade erfahren, dass "DENY" besser ersetzt wird mit "sameorigin", weil gerade in CMSMS dann einiges nicht mehr funktioniert.

Danke für den Hinweis - da es so essentiell für CMSMS ist, hab ich gleich mal die Beiträge hier oberhalb entsprechend angepasst.

Janl · 29. August 2016 22:42

Hallo Cyberman,

ich weiss nicht ob es ein Unterschied macht aber laut Dokumentation ist "sameorigin" klein geschrieben und DENY gross geschrieben.

MfG
Jan

Andynium · 31. August 2016 07:14

Danke für den Hinweis - vermutlich scheint die Schreibweise egal zu sein. Hab es in verschiedenen Quellen mal groß und mal klein geschrieben gesehen ...

Forum für CMS/made simple

#1 27. August 2016 13:56

Content Security Policy Header

#2 28. August 2016 21:32

Re: Content Security Policy Header

#3 28. August 2016 21:51

Re: Content Security Policy Header

#4 29. August 2016 22:34

Re: Content Security Policy Header

#5 29. August 2016 22:42

Re: Content Security Policy Header

#6 31. August 2016 07:14

Re: Content Security Policy Header

Fußzeile des Forums