Security Headers

10 Tests verifizieren die automatische Injektion von Security Headers (BSI IT-Grundschutz APP.3.1.A21).

Konfiguration

Security Headers werden in policy.yaml konfiguriert:

# policy.yaml
security_headers:
  csp:
    enabled: true
    policy: "default-src 'self'; script-src 'self'"
  hsts:
    enabled: true
    max_age: 31536000
    include_subdomains: true
  x_frame_options: "DENY"
  x_content_type_options: "nosniff"

HDR-001INJIZIERT

Content-Security-Policy

Response-Header

Content-Security-Policy: default-src 'self'; script-src 'self'

CSP kontrolliert, welche Ressourcen der Browser laden darf. Verhindert XSS durch Beschränkung der Skriptausführung auf vertrauenswürdige Quellen.

HDR-002INJIZIERT

Strict-Transport-Security (HSTS)

Response-Header

Strict-Transport-Security: max-age=31536000; includeSubDomains; preload

HSTS zwingt Browser, für alle zukünftigen Anfragen HTTPS zu verwenden. Die preload-Direktive ermöglicht die Aufnahme in Browser-Preload-Listen.

HDR-003INJIZIERT

X-Frame-Options

Response-Header

X-Frame-Options: DENY

Verhindert das Einbetten der Seite in iframes und schützt so vor Clickjacking-Angriffen.

HDR-004INJIZIERT

X-Content-Type-Options

Response-Header

X-Content-Type-Options: nosniff

Verhindert MIME-Sniffing durch Browser und stellt sicher, dass der deklarierte Content-Type respektiert wird.