Security Headers: Bescherm Uw Site met HTTP-Beveiligingsheaders

Beveiligingsheaders: de eerste verdedigingslinie van de browser

HTTP-beveiligingsheaders zijn instructies die de webserver samen met het antwoord naar de browser stuurt, die aangeven hoe hij zich moet gedragen om de gebruiker te beschermen. Zonder deze headers past de browser alleen zijn standaardbeleid toe, dat vaak niet voldoende is om aanvallen zoals XSS (Cross-Site Scripting), clickjacking, content-type sniffing en HTTPS-downgrade te voorkomen. De juiste headers configureren is een van de meest effectieve en minst invasieve beveiligingsmaatregelen die u kunt implementeren.

Onze Security Headers analyzer controleert de aanwezigheid en juiste configuratie van elke beveiligingsheader, kent een score toe en geeft specifieke aanbevelingen. Maar in tegenstelling tot een simpele aanwezig/afwezig-controle, analyseert hij ook de waarden: een te permissief CSP (unsafe-inline, unsafe-eval) is bijna erger dan er geen te hebben, omdat het een vals gevoel van veiligheid creert.

De essentiele headers

# Content-Security-Policy — Prevenzione XSS
Content-Security-Policy: default-src 'self'; script-src 'self'; style-src 'self' 'unsafe-inline'; img-src 'self' data:; font-src 'self'

# Strict-Transport-Security — Forza HTTPS
Strict-Transport-Security: max-age=31536000; includeSubDomains; preload

# X-Content-Type-Options — Previene MIME sniffing
X-Content-Type-Options: nosniff

# X-Frame-Options — Previene clickjacking
X-Frame-Options: DENY

# Referrer-Policy — Controlla il referrer
Referrer-Policy: strict-origin-when-cross-origin

# Permissions-Policy — Limita API del browser
Permissions-Policy: camera=(), microphone=(), geolocation=()

CSP (Content-Security-Policy) is de krachtigste: hij definieert welke bronnen de browser mag laden en van waar. Hij voorkomt effectief XSS-aanvallen door de uitvoering van ongeautoriseerde scripts te blokkeren. HSTS (Strict-Transport-Security) dwingt de browser om altijd HTTPS te gebruiken, zelfs als de gebruiker http:// typt. De preload-parameter maakt het mogelijk het domein toe te voegen aan de HSTS preloaded-lijst van browsers, waardoor HTTPS vanaf het allereerste bezoek wordt gegarandeerd.

Praktische implementatie

Implementatie vindt plaats op webserverniveau. Op Nginx voegt u add_header toe in server- of location-directieven. Op Apache gebruikt u Header set in het .htaccess-bestand of de virtualhost-configuratie. Als u een CDN gebruikt (Cloudflare, AWS CloudFront), kunt u headers direct in het CDN configureren. Verifieer altijd het resultaat met onze Security Headers check na elke wijziging, en test de site om te verzekeren dat CSP geen legitieme bronnen blokkeert.

Combineer de headercontrole met SSL Check om het SSL-certificaat te verifiëren en HTTP Headers voor een volledige analyse van alle antwoordheaders (niet alleen die van beveiliging). Een site met perfect HTTPS maar zonder beveiligingsheaders is kwetsbaar voor aanvallen die HTTPS niet voorkomt (XSS, clickjacking). Omgekeerd hebben beveiligingsheaders zonder HTTPS beperkte effectiviteit. Webbeveiliging vereist beide.

De aanbevolen aanpak is incrementeel: begin met de eenvoudigste headers (X-Content-Type-Options, X-Frame-Options), voeg dan HSTS en Referrer-Policy toe, en implementeer ten slotte CSP, beginnend met een permissief beleid en geleidelijk aanscherpen terwijl u overtredingen monitort met de report-uri-parameter. Een te restrictief CSP dat zonder tests wordt gelanceerd kan sitefunctionaliteit breken, dus test altijd in report-only modus voordat u het afdwingt.