Security headers implementeren via .htaccess bestand op Apache server

Uw kennismaking met security headers

Vraag je je af wat security headers zijn? Security headers zijn de helden die jouw website helpen beschermen tegen cyberaanvallen. Kortweg zijn security headers HTTP-headers die je browsers specifieke instructies geven over hoe ze zich moeten gedragen bij het laden en weergeven van je site. Ze zijn cruciaal voor het verdedigen van je website, het veilig houden van data en het beschermen van je gebruikers tegen aanvallen zoals Cross-Site Scripting (XSS), Click-jacking en andere code injectie-aanvallen.

Wat betekent het implementeren van de security headers via een .htaccess bestand op een Apache server? Zoals de naam doet vermoeden, is een .htaccess-bestand een configuratiebestand dat op Apache-servers wordt gebruikt, waardoor je de serverinstellingen op directory-niveau kunt wijzigen. Door het implementeren van security headers via een .htaccess bestand, kun je stap voor stap bepalen hoe browsers omgaan met de content van je site.

Het implementeren van security headers: een stap-voor-stap handleiding

De implementatie van security headers hoeft geen ingewikkelde taak te zijn. Met deze stap-voor-stap handleiding laten we je zien hoe je deze security headers kunt toevoegen aan het .htaccess bestand op je Apache server.

1. Start met Strict Transport Security (HSTS)

Voeg deze regel toe aan je .htaccess bestand om ervoor te zorgen dat browsers alleen veilige HTTPS-verbindingen naar je site maken:

Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains"

2. Voeg de X-Content-Type-Options toe

Deze veiligheidsheader stopt ‘mime’ based attacks door alleen bekende MIME-types te laten laden.

Header set X-Content-Type-Options "nosniff"

3. Implementeer X-Frame-Options

Wil je clickjacking-aanvallen voorkomen op je site? Implementeer dan de X-Frame-Options header:

Header always append X-Frame-Options SAMEORIGIN

4. Laten we de Content Security Policy (CSP) niet vergeten

Voeg de Content Security Policy header toe om controle te hebben over welke bronnen content naar je site kunnen laden:

Header set Content-Security-Policy "default-src 'self';"

5. Eindig met de implementatie van X-XSS-Protection

Tot slot, zet de X-XSS-Protection aan om XSS (cross-site scripting) aanvallen te blokkeren:

Header set X-XSS-Protection "1; mode=block"

Onthoud dat na het toevoegen van deze security headers aan je .htaccess bestand, je je site moet testen om te controleren of de headers correct werken.

Controleren security headers via Chrome browser

1. Open eerst de website waarvan je de security headers wilt controleren via de Chrome Browser.
2. Klik vervolgens met de rechtermuisknop op een leeg stuk van de website en selecteer ‘Inspecteren’. Dit zal de Chrome Developer Tools openen.
3. In het venster dat zich opent, kies je voor het tabblad ‘Network’. Hier vind je alle netwerkaanvragen die de website maakt.
4. Als je hierna de webpagina ververst (F5 drukken of de ‘refresh’ knop gebruiken), zul je een lijst zien van alle netwerkaanvragen die de website heeft gemaakt.
5. Klik op de bovenste entry (meestal de URL van de website). Hiermee opent u een nieuw paneel aan de rechterkant.
6. In het rechterpaneel selecteer het tabblad ‘Headers’.
7. Onder dit tabblad, scroll naar beneden naar het gedeelte ‘Response Headers’. Hier zie je een lijst van alle headers die de server heeft teruggestuurd als reactie op de aanvraag van de webpagina. Onder deze kopjes vind je de ‘security headers’.
8. Zoek nu naar de belangrijke security headers zoals Strict-Transport-Security, Content-Security-Policy, X-Content-Type-Options, X-Frame-Options en X-XSS-Protection. Als deze headers aanwezig zijn, dan betekent het dat je website de belangrijke beveiligingsmaatregelen heeft genomen.

Conclusie

Security headers zijn een essentieel onderdeel van webbeveiliging en het implementeren ervan zou een standaardprocedure moeten zijn voor alle webdevelopers. Bij LimaWeb zijn we gepassioneerd over webontwikkeling en -veiligheid en we hopen dat dit artikel je helpt om je website een niveau hoger te tillen in beveiliging. Mocht je nog vragen hebben of hulp nodig hebben, aarzel dan niet om ons te contacteren!

Bij LimaWeb staan we altijd klaar om een handje te helpen.