Observatory by Mozilla
Sicherheits-Scan mit Rating
Das Observatory von Mozilla scannt Websites und analysiert die Implementierung von wichtigen Sicherheits-Features für das HTTP-Protokoll. Insbesondere geht es um zusätzliche HTTP-Header, die bei der Vermeidung von XSS-Angriffen und anderen helfen. Eine Content Security Policy (CSP) sorgt dafür, dass keine bösartigen Inhalte von dritter Seite nachgeladen werden. Auf der Ergebnisseite werden Webmaster darüber informiert, wie ihre Website abgeschnitten hat. Neben einem Rating von A bis F (analog der US-amerikanischen Schulnoten) erfährt man auf der Ergebnisseite, wie man die Sicherheit der eigenen Website verbessern kann.
Mozilla hat die Sicherheitshinweise in ausführlichen Guidelines zusammengefasst.
Snippet für A+ Rating
Die Header zur Verbesserung der Sicherheit können in der Apache-Konfiguration gesetzt werden. Zum Beispiel in der Datei .htaccess
Mit der folgenden Konfiguration erzielt die Homepage von Hostsharing beim Rating ein A+:
Header set Content-Security-Policy "default-src 'none'; font-src 'self'; img-src 'self'; script-src 'self'; style-src 'self' 'unsafe-inline'; base-uri 'self'; form-action 'self'; frame-ancestors 'none'" Header set X-Content-Type-Options "nosniff" Header set X-Frame-Options "DENY" Header set X-XSS-Protection "1; mode=block"
Meta-Tag Snippet für A+ Rating
Die Header können teilweise auch im HTML-Code der Website gesetzt werden.
Mit diesen Meta-Tags im Header erzielt man ebenfalls ein A+-Rating:
<meta http-equiv="Content-Security-Policy" content="default-src 'none'; object-src 'none'; font-src 'self'; img-src 'self'; script-src 'self'; style-src 'self' 'unsafe-inline'; base-uri 'self'; form-action 'self'; frame-ancestors 'none'"> <meta http-equiv="X-XSS-Protection" content="1; mode=block"> <meta http-equiv="X-Content-Type-Options" content="nosniff"> <meta http-equiv="X-Frame-Options" content="DENY"> <meta http-equiv="Referrer-Policy" content="no-referrer, strict-origin-when-cross-origin">