Wat is dit
We controleren een set HTTP-securityheaders: Content-Security-Policy, X-Content-Type-Options, X-Frame-Options (of frame-ancestors via CSP), Referrer-Policy, en Permissions-Policy. Samen vormen ze een laagje extra bescherming bovenop TLS.
Waarom belangrijk
Deze headers beperken concrete aanvallen: CSP stopt XSS, X-Content-Type-Options stopt MIME-sniffing, frame-ancestors stopt clickjacking, Referrer-Policy lekt minder informatie, Permissions-Policy beperkt gevoelige browser-API's.
Hoe los ik dit op
TransIP: Bij VPS: in nginx voeg toe: add_header X-Content-Type-Options nosniff always; en de andere headers. Bij Managed WordPress: gebruik een plugin als Headers Security Advanced & HSTS WP.
CloudFlare: Rules > Transform Rules > Modify Response Header. Voeg per header een regel toe op alle URLs. Of gebruik een Worker. Voor CSP gebruik je Content-Security-Policy met een report-only-fase eerst.
Strato of Antagonist: Plaats .htaccess-regels: Header always set X-Content-Type-Options "nosniff", Header always set Referrer-Policy "strict-origin-when-cross-origin", en bouw CSP stapsgewijs op.
Anders: Volg OWASP Secure Headers en voeg ze toe in je webserver of edge-laag. Test eerst met CSP in Content-Security-Policy-Report-Only voor je hem afdwingt.
Verifieren
Securityheaders.com. Doel: A of A+. Of curl -sI https://jouwdomein.nl | grep -iE 'content-security|x-frame|x-content|referrer|permissions'.