- Registriert
- 11. Dez. 2010
- Beiträge
- 5.341
- Punkte
- 448
- XF Version
- 2.2.15
- XF Instanz
- Hosting
- PHP-Version
- 8.2.x
- MySQL/MariaDB
- 10.3.x
- Provider/Hoster
- Strato/Hetzner
CSP - Content Security Police und all die anderen Security Headers - wie handhabt ihr das Thema.
Hier mal ein Beispiel meiner aktuellen Einstellungen in der .htaccess eines meiner Foren:
Das Ergebnis ist noch verbesserungswürdig - ja, aber wohl besser als gar nichts.
Wer seine Seite Testen mag: Analyse your HTTP response headers
Mit der Content Security Police tu ich mich schwer, da man da echt genau hinschauen muss, was man einstellt, da man sonst die Seite in deren Funktion schnell mal unversehens einschränkt, bis hin zum nicht mehr möglichen Login...
Welche Einstellungen nutzt ihr also?
Nutzt ihr die Headers überhaupt?
Edit: @McAtze es wäre manches mal von Vorteil, keine Wahl zwischen XF 1.5 und 2.x treffen zu müssen, wie in diesem Thema z.B.. Vielleicht kann man das ja etwas weniger restriktiv machen?
Hier mal ein Beispiel meiner aktuellen Einstellungen in der .htaccess eines meiner Foren:
Code:
ServerSignature Off
Header set Content-Security-Policy: "default-src https: 'unsafe-inline' 'unsafe-eval'; img-src 'self'"
Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains"
Header always set X-Content-Type-Options "nosniff"
Header set X-XSS-Protection "1; mode=block"
Header append X-Frame-Options "SAMEORIGIN"
Header always edit Set-Cookie (.*) "$1; HttpOnly; Secure"
Header always unset "X-Powered-By"
Header set Referrer-Policy "origin-when-cross-origin"
Header set Expect-CT "max-age=0; report-uri=https://www.domain.de/reportOnly"
Header always set Feature-Policy "geolocation none; midi none;notifications none; push none; sync-xhr none; microphone none; camera none; magnetometer none; gyroscope none; speaker self; vibrate none; fullscreen self; payment none"
Das Ergebnis ist noch verbesserungswürdig - ja, aber wohl besser als gar nichts.
Wer seine Seite Testen mag: Analyse your HTTP response headers
Mit der Content Security Police tu ich mich schwer, da man da echt genau hinschauen muss, was man einstellt, da man sonst die Seite in deren Funktion schnell mal unversehens einschränkt, bis hin zum nicht mehr möglichen Login...
Welche Einstellungen nutzt ihr also?
Nutzt ihr die Headers überhaupt?
Edit: @McAtze es wäre manches mal von Vorteil, keine Wahl zwischen XF 1.5 und 2.x treffen zu müssen, wie in diesem Thema z.B.. Vielleicht kann man das ja etwas weniger restriktiv machen?