Bescherm je website met HTTP response headers

Clickjacking is een veelvoorkomend type cyberaanval. Bij clickjacking proberen hackers om websitebezoekers op een “valse” link of knop te laten klikken waar zij anders niet op geklikt hadden. Dit doen zij door óver een legitieme link of knop een valse te plaatsen. Wanneer een bezoeker dan denkt op een veilige link te klikken, klikken zij eigenlijk op de valse link. Cybercriminelen gebruiken deze techniek om bijvoorbeeld toegang te krijgen tot persoonlijke accounts, gevoelige data te stelen of systemen te infecteren met malware.

Wil jij jouw websitebezoekers beschermen en ervoor zorgen dat cybercriminelen geen kans hebben om valse scripts aan jouw website toe te voegen? In dit artikel bespreken we vier HTTP response headers die clickjacking-aanvallen op jouw websites kunnen voorkomen. Bij elke header hebben wij een link toegevoegd met instructies over hoe je deze aan jouw website kunt toevoegen. We raden aan om dit artikel te delen met je development-team.

X-Frame-Options

X-Frame-Options is een HTTP response header waarmee een webserver kan aangeven of een webpagina wel of niet geladen kan worden als een iframe of frame. Als de header als “deny” ingesteld is, betekent dit dat dit niet mogelijk is voor deze pagina. Pogingen om dit wel te doen worden geblokkeerd. Het instellen van deze header helpt om clickjacking-aanvallen op je website tegen te houden.

Meer informatie over X-Frame-Options.

X-Content-Type-Options

X-Content-Type-Options is een HTTP response header die vooral belangrijk is voor websites waarop gebruikers bestanden kunnen uploaden. Deze header wordt gebruikt om aan te geven of een webpagina geïnterpreteerd kan worden als een geldig HTML-document of als een uitvoerbaar bestandstype. Het gebruik van deze header voorkomt dat hackers kwaadaardige codes kunnen injecteren in jouw webpagina.

Meer informatie over X-Content-Type-Options.

Content-Security-Policy

Content-Security-Policy is een HTTP response header die een webserver laat specificeren welke resources een webpagina kan laden, én vanaf waar deze geladen kunnen worden. Deze header laat webservers ook bepalen welke soorten plugins op de webpagina uitgevoerd mogen worden. Zo voorkom je de installatie van kwaadaardige plugins.

Meer informatie over Content-Security-Policy.

Referrer-Policy

Referrer-Policy is een HTTP response header die bepaalt hoe een webpagina referrer informatie verstuurt. Het gebruik van Referrer-Policy voorkomt dat hackers toegang krijgen tot gevoelige informatie als IP-adressen en logingegevens via het gebruik van referrers.

Meer informatie over Referrer-Policy.