Observatory by Mozilla
Sicherheits-Scan mit Rating
Das Observatory von Mozilla scannt Websites und analysiert die Implementierung von wichtigen Sicherheits-Features. Auf der Ergebnisseite werden Webmaster darüber informiert, wie ihre Website abgeschnitten hat. Neben einem Rating von A bis F (analog der US-amerikanischen Schulnoten) erfährt man auf der Ergebnisseite, wie man die Sicherheit der eigenen Website verbessern kann.
Mozilla hat die Sicherheitshinweise in ausführlichen Guidelines zusammengefasst.
Snippet für A+ Rating
Die Header zur Verbesserung der Sicherheit können in der Apache-Konfiguration gesetzt werden. Zum Beispiel in der Datei .htaccess
Mit der folgenden Konfiguration erzielt die Homepage von Hostsharing beim Rating ein A+:
Header set Content-Security-Policy "default-src 'none'; font-src 'self'; img-src 'self'; script-src 'self'; style-src 'self' 'unsafe-inline'; base-uri 'self'; form-action 'self'; frame-ancestors 'none'" Header set X-Content-Type-Options "nosniff" Header set X-Frame-Options "DENY" Header set X-XSS-Protection "1; mode=block"
Meta-Tag Snippet für A+ Rating
Die Header können teilweise auch im HTML-Code der Website gesetzt werden.
Mit diesen Meta-Tags im Header erzielt man ebenfalls ein A+-Rating:
<meta http-equiv="Content-Security-Policy" content="default-src 'none'; object-src 'none'; font-src 'self'; img-src 'self'; script-src 'self'; style-src 'self' 'unsafe-inline'; base-uri 'self'; form-action 'self'; frame-ancestors 'none'"> <meta http-equiv="X-XSS-Protection" content="1; mode=block"> <meta http-equiv="X-Content-Type-Options" content="nosniff"> <meta http-equiv="X-Frame-Options" content="DENY"> <meta http-equiv="Referrer-Policy" content="no-referrer, strict-origin-when-cross-origin">