Heutzutage verfügen Webbrowser über diverse Funktionalitäten und Schnittstellen, wie z.B. zum Zugriff auf Kamera, Mikrofon oder Standortdaten des Endgeräts eines Benutzers. In Verbindung mit XSS-Lücken könnten Angreifer, oder eingebundene 3rd-Party-Ressourcen diese Features zweckentfremden bzw. missbrauchen. Zum Schutz davor kann der HTTP-Security-Header Permissions-Policy (ursprünglich Feature-Policy) zum Einsatz kommen. Hiermit lassen sich für eine Website und deren eingebundene Ressourcen einzelne Features explizit sowie gezielt aktivieren, deaktiveren bzw. einschränken.

Näheres zur Permissions-Policy und wie ihr diese auf eurer Website bzw. in eurer Webanwendung einsetzen könnt, erfahrt ihr in diesem Beitrag.

Weiterlesen

Der HTTP-Security-Header X-XSS-Protection ist zum Schutz vor reflektierten (engl. reflected) Cross-Site-Scripting (XSS)-Angriffen gedacht. Dieser HTTP-Header wird aber nur noch von älterern Webbrowsern, wie z.B. dem Internet Explorer 11, unterstützt. Heutzutage sollte stattdessen lieber eine strikte Content-Security-Policy (CSP) verwendet werden. Der vollständigkeitshalber soll der X-XSS-Protection-Header im Rahmen der Beitragsserie HTTP-Security-Header in diesem Beitrag aber kurz vorgestellt werden.

Weiterlesen

Einige Webbrowser verfügen über eine Funktionalität namens Content-/MIME-Sniffing. Eigentlich gut gemeint, kann diese Funktionalität aber auch von Angreifern missbraucht werden. Um dies zu verhindern, kann der HTTP-Security-Header X-Content-Type-Options eingesetzt werden.

Weiterlesen

Durch Verwendung des HTTP-Security-Headers X-Frame-Options können sogenannte Clickjacking-Angriffe unterbunden werden. Hierfür wird dem Webbrowser mitgeteilt, inwieweit die aufgerufene Webseite in eine andere Webseite - z.B. via Frames - eingebettet werden darf.

Details zum Einsatz von X-Frame-Options erfahrt ihr in diesem Beitrag.

Weiterlesen

Mit dem HTTP-Security-Header HTTP-Strict-Transport-Security (HSTS) können sogenannte SSL-Stripping bzw. MITM-Angriffe verhindert werden.

Dem Webbrowser wird mittels dem HSTS-Header mitgeteilt, dass dieser die aufgerufene Webseite zukünftig für einen frei zu definierenden Zeitraum nur noch über eine verschlüsselte HTTPS-Verbindung abrufen soll. Dieses soll verhindern, dass ein Angreifer den Datenverkehr umleitet und manipuliert, so dass die angefragte Webseite anstatt über eine verschlüsselte über eine unverschlüsselte Verbindung übertragen wird und der Angreifer somit alle Daten im Klartext mitlesen kann.

In diesem Beitrag erfahrt ihr, wie HSTS für die eigene Webseite eingesetzt werden kann.

Weiterlesen