ServerRecords

Help & probleemoplossing

Beveiligingsheaders

Wat dit is

Een handvol HTTP-antwoordheaders instrueert browsers om beschermingen in te schakelen: HSTS (HTTPS afdwingen), CSP (het laden van bronnen beperken), X-Frame-Options (framing blokkeren), X-Content-Type-Options (MIME-sniffing blokkeren), Referrer-Policy en Permissions-Policy.

Hoe je je resultaat leest

Elke header wordt gerapporteerd als aanwezig of ontbrekend met waartegen hij beschermt. Ontbrekende headers zijn kansen, geen storingen — maar ze behoren tot de goedkoopste beveiligingswinst die beschikbaar is.

Veelvoorkomende problemen en hoe je ze oplost

De meeste of alle beveiligingsheaders ontbreken

Hoe het zich uit: Er gaat zichtbaar niets kapot, maar de site is nodeloos blootgesteld aan clickjacking, MIME-verwarring en referrer-lekkage; scanners beoordelen het slecht.

Hoe je het oplost: Voeg ze toe op het niveau van de webserver of het CDN. Veilige startpunten voor vrijwel elke site: X-Frame-Options: DENY (of SAMEORIGIN), X-Content-Type-Options: nosniff, Referrer-Policy: strict-origin-when-cross-origin, plus HSTS.

Een strikt Content-Security-Policy toevoegen brak de site

Hoe het zich uit: Scripts, stijlen of afbeeldingen laden niet meer; de console loopt vol met CSP-schendingsfouten.

Hoe je het oplost: Rol CSP eerst uit in report-only-modus (Content-Security-Policy-Report-Only) en scherp het iteratief aan op basis van de schendingsrapporten, schakel daarna over naar handhaven zodra het schoon is.

Headers ingesteld in de app maar gestript in productie

Hoe het zich uit: Lokaal testen toont de headers; de live site mist ze.

Hoe je het oplost: Een proxy-/CDN-laag ervoor overschrijft of laat ze weg. Stel de headers in op de buitenste laag die de verbinding beëindigt (meestal het CDN), of configureer die om de origin-headers door te laten.

Voer een opzoeking uit voor dit record