help.sitevision.se hänvisar alltid till senaste versionen av Sitevision
Panelen Avancerad säkerhet
Dessa inställningar ska du inte röra om du inte vet vad det innebär! Det kan få stora effekter på webbplatsen om du gör fel!
Strict-Transport-Security
Syftet med denna header är att tvinga alla requests att gå över HTTPS oavsett vad som specificeras i länkar och liknande. Denna header sätter en TTL, och under tiden TTL råder kommer webbläsaren enbart hämta sidor från domänen med https, oavsett vad länken eller "adressfältet" säger.
Exempel på headers:
Strict-Transport-Security: max-age=31536000
Strict-Transport-Security: max-age=31536000; includeSubDomains
Strict-Transport-Security: max-age=31536000; includeSubDomains; preload
Kontrollera att headern är satt i responset.
Inställningen cachas i webbläsaren så har du gjort en inställning så kommer den att sparas i besökarens webbläsaren.
Referrer-Policy
En referer som tillåter en webbplats att kontrollera hur mycket information webbläsaren innehåller med navigering bort från ett dokument. Se https://scotthelme.co.uk/a-new-security-header-referrer-policy/
Content-Security-Policy
Header som instruerar besökarens webbläsare från vilka källor resurser får hämtas. Läs mer på https://developer.mozilla.org/en-US/docs/Web/HTTP/CSP Länk till annan webbplats, öppnas i nytt fönster.
Nu finns det också möjlighet att stänga av "unsafe-inline" för skript. Det går att skriva en policy som kan spärra inline javascript. Då kommer dessa skript aldrig att laddas. Om du har inline-skript som ändå måste laddas kan du använda en engångskod (nonce) för varje sidhämtning för att inline-skriptet ska fungera. Då måste alla ställen som har inline-skript ändras för att använda engångskod (nonce).
Läs mer om detta på developer-webben:
Content Security Policy and inline javascript
Används i nuläget bara för online
X-XSS-Protection
Denna header är en funktion som används av Internet Explorer, Chrome & Safari som hindrar sidor att laddas när de upptäcker XSS-attacker (cross-site scripting).
X-Content-Type-Options
Tvingar webbläsare att lite på våra mime-types. Gör att det blir omöjligt att göra "drive-by-download" attacker genom sitevision.
Denna funktion kräver att du har behörigheten " Hantera webbplatsinställningar" samt "Hantera funktioner för utvecklare".