Panelet Avanserte sikkerhet

Strict-Transport-Security

Hensikten med denne headeren er å tvinge alle forespørsler til å gå over HTTPS uavhengig av hva som er angitt i lenker og lignende. Denne headeren setter en TTL, og i løpet av TTL vil nettleseren bare hente sider fra domenet ved hjelp av https, uavhengig av hva som står i lenken eller "adressefeltet".

Eksempler på overskrifter:
Strict-Transport-Security: max-age=31536000
Strict-Transport-Security: max-age=31536000; includeSubDomains
Strict-Transport-Security: max-age=31536000; includeSubDomains; preload

Kontroller at overskriften er angitt i svaret.

Retningslinjer for henvisninger

En henvisningspolicy som gjør det mulig for et nettsted å kontrollere hvor mye informasjon nettleseren inneholder når du navigerer bort fra et dokument. Se https://scotthelme.co.uk/a-new-security-header-referrer-policy/

Retningslinjer for innholdssikkerhet

Header som forteller den besøkendes nettleser fra hvilke kilder ressurser kan hentes. Les mer på https://developer.mozilla.org/en-US/docs/Web/HTTP/CSP Lenke til et annet nettsted, åpnes i nytt vindu.

Det er nå også mulig å deaktivere unsafe-inline for skript. Det er mulig å skrive en policy som kan blokkere inline javascript. Da vil disse skriptene aldri bli lastet inn. Hvis du har inline-skript som likevel må lastes inn, kan du bruke en nonce for hver sideinnlasting for at inline-skriptet skal fungere. I så fall må alle nettsteder som har innebygde skript, endres til å bruke nonce.

X-XSS-beskyttelse

Denne headeren er en funksjon som brukes av Internet Explorer, Chrome og Safari, og som forhindrer at sider lastes inn når de oppdager XSS-angrep (cross-site scripting).

X-Content-Type-Options

Tvinger nettlesere til å stole på våre mime-typer. Gjør det umulig å utføre drive-by-download-angrep via sitevision.