Sicherheitsmechanismen für Web-Projekte

Veröffentlichungsdatum: 10. September 2021
Änderungsdatum: 21. Januar 2022

weblication cms sicherheit security header cookies hsts policy

Für den Betrieb einer Webseite sollte die Sicherheit immer im Fokus stehen. Dieser Artikel nennt diverse Einstellungen, welche unter anderem von Bedeutung sind.

In erster Linie sollten auf Webserver-Ebene die erforderlichen Einstellungen vorgenommen werden, was in der Regel vom Provider bzw. Serveradmin schon vorgenommen wurde. Bei Bedarf klären Sie das aber im Einzelfall nochmals (Firewall, Security-Scans, etc.).

Für die Webseiten lassen sich zusätzlich diverse Einstellungen vornehmen, um die Sicherheit zu erhöhen.

HTTP Strict Transport Security (HSTS)

Einstellungen zu HSTS setzen Sie individuell im Projekt um.

Weitere Informationen zum Thema finden Sie über die weiterführenden Links (siehe unten).

Content Security Policy (CSP) Header

Einstellungen zu CSP setzen Sie individuell im Projekt um.

Weitere Informationen zum Thema finden Sie über die weiterführenden Links (siehe unten).

Referrer Policy / Richtlinie (no-referrer-when-downgrade)

Einstellungen zur Referrer Policy setzen Sie individuell im Projekt um.
Die Browser haben allerdings grundsätzlich schon eine standardmäßige, sichere Einstellung.

Weitere Informationen zum Thema finden Sie über die weiterführenden Links (siehe unten).

HTTP Header

Einstellungen zu HTTP headers setzen Sie individuell im Projekt um.
Folgende Einstellungen sind in aktuellen Projekten bereits standardmässig über die pre.php gesetzt:

  • X-Content-Type-Options Header
  • X-XSS-Protection Header

Weitere Informationen zum Thema finden Sie über die weiterführenden Links (siehe unten).

Cookies

Einstellungen zur Cookies setzen Sie individuell im Projekt um.
Folgende Einstellungen können zentral über die Weblication® Systemeinstellungen (wConf) gesetzt werden und sind in aktuellen Installationen auch schon auf Standardwerte gesetzt:

  • HttpOnly
  • Secure
  • Samesite

Weitere Informationen zum Thema finden Sie über die weiterführenden Links (siehe unten).

Weiterführende Links

developer.mozilla.org: Strict-Transport-Security (HSTS)
developer.mozilla.org: Content Security Policy (CSP)
developer.mozilla.org: Referrer-Policy
developer.mozilla.org: HTTP headers
Sicherheitseinstellungen zu Session-Cookies