HTTP Beveiligingsheaders Generator
Configureer HTTP-beveiligingsheaders voor uw webserver
Strict-Transport-Security (HSTS)
Dwingt browsers om HTTPS te gebruiken. Aanbevolen: inschakelen met 1 jaar max-age.
Content-Security-Policy (CSP)
Bepaalt welke bronnen de browser mag laden. Begin met report-only modus.
X-Frame-Options
Voorkomt dat uw pagina wordt ingesloten in iframes op andere sites.
X-Content-Type-Options
Voorkomt MIME-type sniffing. Altijd ingesteld op nosniff.
nosniff
Referrer-Policy
Bepaalt hoeveel referrer-informatie met verzoeken wordt meegestuurd.
Permissions-Policy
Bepaalt welke browserfuncties uw site kan gebruiken.
# Security Headers add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always; add_header X-Frame-Options "DENY" always; add_header X-Content-Type-Options "nosniff" always; add_header Referrer-Policy "strict-origin-when-cross-origin" always;
Meer informatie
Configure essential security headers for your web server.
Wat zijn HTTP-beveiligingsheaders?
HTTP-beveiligingsheaders zijn responseheaders die browsers instrueren hoe ze met de inhoud van uw site moeten omgaan. Ze vormen een kritieke verdedigingslaag tegen veelvoorkomende webaanvallen zoals XSS, clickjacking en protocol-downgrade-aanvallen.