Security headers toevoegen
Als een bezoeker een website bezoekt, reageert de server met HTTP Response Headers in de inhoud van de webpagina. Deze headers zijn de communicatie regels voor de browser over wat toegestaan is als er interactie met de website ontstaat.
Deze headers kunnen zijn bedacht om je te beschermen tegen XSS, code injectie, clickjacking enz.
Standaard zijn deze headers niet ingesteld. Meestal zetten klanten deze instellingen in een .htacces bestand.
Door de onderstaande security headers in de VirtualHosts van gebruikers te zetten krijgen alle klanten van je hostingserver een A+ beoordeling.
Maak een bestand cust_httpd.CUSTOM.post aan
# vi /usr/local/directadmin/data/templates/custom/cust_httpd.CUSTOM.post
Voeg het onderstaande toe in het bestand:
<IfModule mod_headers.c>
Header always set X-Content-Type-Options "nosniff"
<FilesMatch "\.(php|html)$$">
Header always unset X-Powered-By
Header unset X-Powered-By
Header set X-Frame-Options "SAMEORIGIN"
Header set X-XSS-Protection "1"
Header set X-Download-Options "noopen"
Header set X-Permitted-Cross-Domain-Policies "master-only"
Header set X-DNS-Prefetch-Control "on"
Header set Referrer-Policy "no-referrer-when-downgrade"
Header set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" env=HTTPS
Header set Content-Security-Policy "block-all-mixed-content"
Header Set Permissions-Policy 'geolocation=*, midi=(), sync-xhr=(self "https://|DOMAIN|" "https://www.|DOMAIN|"), microphone=(), camera=(), magnetometer=(), gyroscope=(), payment=(), fullscreen=(self "https://|DOMAIN|" "https://www.|DOMAIN|")'
</FilesMatch>
</IfModule>
Om de wijzigingen actief te maken dien je de VirtualHosts te herschrijven door de onderstaande commando’s uit te voeren
# cd /usr/local/directadmin/custombuild/
# ./build rewrite_confs
Als je vervolgens wil controleren wat de beoordeling van je security headers zijn, kun je naar Securityheaders.com gaan.
Opmerking: Elke header zal mogelijk inactief worden voor de betreffende domein door het aanpassen van de domein’s specifieke .htaccess bestand. De volgende voorbeeld zal de X-Frame-Options header weghalen voor een enkele domein die op de server actief is waar deze header globaal is ingesteld.
Header always unset X-Frame-Options