Observatory by Mozilla: Unterschied zwischen den Versionen

Sicherheits-Scan mit Rating

Das Observatory von Mozilla scannt Websites und analysiert die Implementierung von wichtigen Sicherheits-Features. Auf der Ergebnisseite werden Webmaster darüber informiert, wie ihre Website abgeschnitten hat. Neben einem Rating von A bis F (analog der US-amerikanischen Schulnoten) erfährt man auf der Ergebnisseite, wie man die Sicherheit der eigenen Website verbessern kann.

Mozilla hat die Sicherheitshinweise in ausführlichen Guidelines zusammengefasst.

Snippet für A+ Rating

Die Header zur Verbesserung der Sicherheit können in der Apache-Konfiguration gesetzt werden. Zum Beispiel in der Datei .htaccess

Mit der folgenden Konfiguration erzielt die Homepage von Hostsharing beim Rating ein A+:

   Header set Content-Security-Policy "default-src 'none'; font-src 'self'; img-src 'self'; script-src 'self'; style-src 'self' 'unsafe-inline'; base-uri 'self'; form-action 'self'; frame-ancestors 'none'"
   Header set X-Content-Type-Options "nosniff"
   Header set X-Frame-Options "DENY"
   Header set X-XSS-Protection "1; mode=block"

Meta-Tag Snippet für A+ Rating

Die Header können auch in HTML-Code der Website gesetzt werden.

Mit diesen Meta-Tags im Header erzielt man ebenfalls ein A+-Rating:

   <meta http-equiv="Content-Security-Policy" content="default-src 'none'; object-src 'none'; font-src 'self'; img-src 'self'; script-src 'self'; style-src 'self' 'unsafe-inline'; base-uri 'self'; form-action 'self'; frame-ancestors 'none'">
   <meta http-equiv="X-XSS-Protection" content="1; mode=block">
   <meta http-equiv="X-Content-Type-Options" content="nosniff">
   <meta http-equiv="X-Frame-Options" content="DENY">
   <meta http-equiv="Referrer-Policy" content="no-referrer, strict-origin-when-cross-origin">