Observatory by Mozilla: Unterschied zwischen den Versionen
Has00 (Diskussion | Beiträge) (→Snippet für A+ Rating: .htaccess erwähnt) |
Has00 (Diskussion | Beiträge) |
||
Zeile 18: | Zeile 18: | ||
== Meta-Tag Snippet für A+ Rating == | == Meta-Tag Snippet für A+ Rating == | ||
Die Header können auch | Die Header können teilweise auch im HTML-Code der Website gesetzt werden. | ||
Mit diesen Meta-Tags im Header erzielt man ebenfalls ein A+-Rating: | Mit diesen Meta-Tags im Header erzielt man ebenfalls ein A+-Rating: |
Version vom 24. Juni 2018, 14:20 Uhr
Sicherheits-Scan mit Rating
Das Observatory von Mozilla scannt Websites und analysiert die Implementierung von wichtigen Sicherheits-Features. Auf der Ergebnisseite werden Webmaster darüber informiert, wie ihre Website abgeschnitten hat. Neben einem Rating von A bis F (analog der US-amerikanischen Schulnoten) erfährt man auf der Ergebnisseite, wie man die Sicherheit der eigenen Website verbessern kann.
Mozilla hat die Sicherheitshinweise in ausführlichen Guidelines zusammengefasst.
Snippet für A+ Rating
Die Header zur Verbesserung der Sicherheit können in der Apache-Konfiguration gesetzt werden. Zum Beispiel in der Datei .htaccess
Mit der folgenden Konfiguration erzielt die Homepage von Hostsharing beim Rating ein A+:
Header set Content-Security-Policy "default-src 'none'; font-src 'self'; img-src 'self'; script-src 'self'; style-src 'self' 'unsafe-inline'; base-uri 'self'; form-action 'self'; frame-ancestors 'none'" Header set X-Content-Type-Options "nosniff" Header set X-Frame-Options "DENY" Header set X-XSS-Protection "1; mode=block"
Meta-Tag Snippet für A+ Rating
Die Header können teilweise auch im HTML-Code der Website gesetzt werden.
Mit diesen Meta-Tags im Header erzielt man ebenfalls ein A+-Rating:
<meta http-equiv="Content-Security-Policy" content="default-src 'none'; object-src 'none'; font-src 'self'; img-src 'self'; script-src 'self'; style-src 'self' 'unsafe-inline'; base-uri 'self'; form-action 'self'; frame-ancestors 'none'"> <meta http-equiv="X-XSS-Protection" content="1; mode=block"> <meta http-equiv="X-Content-Type-Options" content="nosniff"> <meta http-equiv="X-Frame-Options" content="DENY"> <meta http-equiv="Referrer-Policy" content="no-referrer, strict-origin-when-cross-origin">