Wie setze ich Sicherheits-Header und HSTS?
HTTP-Security-Header verbessern den Schutz gegen Clickjacking, XSS und falsches Caching. HSTS erzwingt HTTPS auf Browserseite.
Beispiel-Konfiguration (.htaccess)
# HSTS (aktivieren, wenn HTTPS überall funktioniert)
Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"
# Clickjacking-Schutz
Header always set X-Frame-Options "SAMEORIGIN"
# XSS-Schutz (veraltet, optional)
Header always set X-XSS-Protection "1; mode=block"
# MIME Sniffing verhindern
Header always set X-Content-Type-Options "nosniff"
# Basis-Content-Security-Policy (CSP) - an Projekt anpassen!
Header set Content-Security-Policy "default-src 'self'; img-src 'self' data: https:; script-src 'self' 'unsafe-inline' 'unsafe-eval' https:; style-src 'self' 'unsafe-inline' https:;"
Vorgehen: Füge die Header testweise hinzu, prüfe die Website-Funktion, erweitere schrittweise die CSP und beobachte die Browser-Konsole auf Verstöße.
Hinweis: Eine zu strenge CSP kann Funktionen blockieren. Beginne konservativ und passe Regeln an.
