Hoe HTTP headers instellen? *

Deze topic is aangepast

Op pagina (2) in deze topic, staat een complete .htaccess bestand instructies klaar.

De allerbelangrijkste toepassingen om je SSL certificaat echt te gebruiken voor een veilige website/webshop en je bezoekers

De volgende toepassingen staan vermeld in de .htaccess bestand

*Expect-CT
*Access-Control-Allow-Origin
*Access-Control-Expose-Headers
*Access-Control-Allow-Methods
*Access-Control-Allow-Headers
*X-XSS-Protection
*X-Content-Type-Options
*X-Frame-Options
*Referrer-Policy
*Transfer-Encoding
*Feature-Policy
*Strict-Transport-Security

Extra
Last-Modified
max-age
TE

DNS CAA aanmaken in DirectAdmin
HSTS activeren in DirectAdmin

Je hebt het over HTTP security headers. Als je dat op zoekt in Google vind je al wat links in het Nederlands.

Gebruikersgroep Rotterdam en Arnhem hebben in november hier een presentatie over. Als je in staat bent om daar bij te zijn wordt het uitgelegd. Het is interessante materie maar wel wat leesvoer.

Oh, en je topic is verplaatst Hacken en veiligheid.

Ah kijk, ik wist absoluut niet dat waar ik deze topic moest plaatsen, mijn dank Hans.

Voor de goede orde even, het is goedgekomen Hans als je begrijpt wat ik bedoel.

Nou ik wist alles ervan, maar een probleem geheugen kan dit veroorzaken dat je niet meer weet hoe dat toe te passen. Ik ben zeer leer gierig, ik zou er ongelijk graag bij willen zijn op dit soort belangrijke punten.

Waar kan ik die info vinden Hans, sorry dat ik even off topic ga.

Ik haalde mijn informatie destijds van:
securityheaders.com/
scotthelme.co.uk/

Voor de rest zou ik even een zoekmachine op HTTP headers gebruiken. Andere bronnen heb ik zelf niet gebruikt.
Overigens heb ik je andere topics gesloten omdat deze ook over HTTP headers gaan, ik pas je titel hier even aan.

I kwam zojuist dit tegen, wel heel toevallig Joomla hierbenikthuis

Gewoon dit in de htaccess plaatsen.

Maar nu kijken of de meldingen inderdaad verdwenen zijn.

Humm lost niet de Content-Security-Policy-Report-Only: policy op, als ik dat daarin toevoeg.

Moet ik dit gedeelte soms veranderen??

Dat is niet toevallig, dat is mijn eigen prive/test website.
Dit is de code zoals die bij mij er in staat en ik heb een A melding. Alleen de laatste twee (CSP en Feature Policy) moet ik nog een keer naar kijken. Vooral CSP is volgens mij lastig, of kan lastig zijn.

Tja nu wel, eerder een B

Dat is echt heel toevallig Hans, perfect, daar heb je tenminste wat aan de informatie.

Echter de volgende wijkt iets af bij mij

Hans waarom zijn de twee andere topics gesloten voor reacties?
Ik had juist de drie topic vragen van elkaar gezet, zodat er geen verwarring ontstond.

De HTTP-header van het Feature-Policy:

De gemakkelijkste manier om Functiebeleid te gebruiken is door de HTTP-header Feature-Policy te verzenden met het antwoord van een pagina. De waarde van deze header is een beleid of reeks beleidsregels die u wilt dat de browser voor een bepaalde herkomst respecteert:

De lijst met toegestane originelen kan verschillende waarden aannemen:

*: De functie is toegestaan in browse-contexten op het hoogste niveau en in geneste browse-contexten (iframes).

'self': de functie is toegestaan in browse-contexten op het hoogste niveau en geneste browse-contexten met dezelfde oorsprong. Het is niet toegestaan in documenten met verschillende originelen in geneste browsereeksen.

'none': de functie is niet toegestaan in browse-contexten op het hoogste niveau en is niet toegestaan in geneste browse-contexten.

<origin(s)>: specifieke oorsprong om het beleid in te schakelen voor (bijvoorbeeld example.com ).

Het is een prachtige uitleg, maag hoe nu dit toe te voegen in de htaccess bestand

Hoi Joop, ik snap dat je deze materie nog niet helemaal behapt. Ik zelf ook niet. En als ik een vermoeden mag uitspreken, de kans dat iemand dit zo even makkelijk hapklaar voor je kan uitleggen is denk ik niet zo groot. De mensen waarvan ik weet dat ze de kennis hebben zijn hier niet echt actief. Maar misschien (hopelijk) schat ik het verkeerd in.

Ik neem aan dat je zelf ook de materie doorneemt. Volgens mij zit je veel bij Mozilla, maar probeer eens de link van mij bovenin ergens van Scott Helme. Hij probeert het allemaal duidelijk uit te leggen.

Waarom ik de andere topics gesloten heb? Omdat het in principe over Security Headers gaat. Als je alles gaat uitsplitsen dan doe je veel moeite maar de kans dat er in elk topic gereageerd wordt is niet zo groot.

Verwacht van mij niet veel meer dan wat ik in mijn blog geschreven had en mijn aanwijzingen waar je info kan vinden. Ik heb de tijd niet om me er eerst in te verdiepen aangezien het voor mij geen parate kennis is. Zo, over een zeven uurtjes gaat mijn wekker weer.