Hi,
beim Testen ist mir augefallen, dass Ihr den HSTS Header gesetzt habt, aber keine anderen "Security" Header.
Grundsätzlich würde ich euch empfehlen da den letzten Schritt noch zu gehen und die Domain auch auf die HSTS preload Liste zu setzen.
https://hstspreload.org/?domain=gruver.de
Zu den anderen Securityheadern die noch ein soll sind gehören der Referrer Header und CSP.
Mit Referrer Header kann man verhindern, dass der Referrer beim Besuch einer anderen Seite übertragen wird und damit wird an eine andere Seite nicht eine geheime URL geleakt.
CSP ist etwas komplexer, aber ist ein guter Schutz um XSS Angriffe im Browser noch abzufangen.
Zum Testen der Header ist die Seite ganz ok: https://securityheaders.com/?q=https%3A%2F%2Fapp.gruver.de&followRedirects=on
Um CSP Reports zu analysieren: https://report-uri.com/
Wobei ich hier nicht weis inwiefern ihr das mit eurem Datenschutz in einklang bringen könnt.
VG
Erstellungs-Datum 24.01.2021 02:20:19
Ersteller VVorname
Abonnenten 3
Status Neu