Gratis Security Headers Checker

Artikel 32 van de AVG vereist passende technische en organisatorische maatregelen om persoonsgegevens te beveiligen. De wettekst noemt geen specifieke HTTP-headers, maar laat het aan de verwerkingsverantwoordelijke om te bepalen wat passend is gezien de risico's.

In de praktijk noemen de GBA (Gegevensbeschermingsautoriteit), ENISA, het OWASP en het CCB beveiligingsheaders als minimale basismaatregel voor elke website. De richtlijnen van het CCB voor webapplicatiebeveiliging besteden expliciet aandacht aan TLS-configuratie en HTTP-headers.

Bij een datalek is het ontbreken van beveiligingsheaders een verzwarende factor in het onderzoek van de toezichthouder. Dit is in meerdere gevallen voorgekomen waarbij de misbruikte kwetsbaarheid had kunnen worden geblokkeerd door een correct CSP-beleid of door HSTS.

Het is geen absolute bescherming. Het is een basismaatregel die elke toezichthouder, GBA, AP of ICO, als vanzelfsprekend beschouwt voor een website die persoonsgegevens verwerkt.

Er bestaan zo'n vijftien HTTP-headers die met beveiliging te maken hebben. Zes daarvan doen het meeste werk.

Strict-Transport-Security (HSTS). Dwingt de browser om HTTPS te gebruiken voor alle volgende verzoeken naar jouw domein. Standaardconfiguratie: Strict-Transport-Security: max-age=31536000; includeSubDomains. Veelgemaakte fout: HSTS activeren met een te korte max-age of zonder includeSubDomains.

Content-Security-Policy (CSP). Bepaalt welke bronnen code mogen laden op jouw pagina. Dit is de sterkste verdediging tegen cross-site scripting. Lastig om in te stellen zonder de site te breken. Begin in report-only-modus gedurende twee weken voordat je overschakelt naar enforce.

X-Frame-Options. Voorkomt dat jouw site in een iframe op een ander domein wordt weergegeven. Blokkeert clickjacking. Aanbevolen waarde: SAMEORIGIN. Grotendeels vervangen door de frame-ancestors-directive van CSP, maar behoud het voor oudere browsers.

X-Content-Type-Options. Eén nuttige waarde: nosniff. Voorkomt dat de browser het MIME-type van een bron raadt. Blokkeert een categorie aanvallen via uploads.

Referrer-Policy. Bepaalt welke informatie wordt meegestuurd in de Referer-header bij uitgaande navigatie. Aanbevolen waarde: strict-origin-when-cross-origin. Beschermt de privacy van gebruikers door URL-lekken naar externe sites te beperken.

Permissions-Policy. Schakelt browser-API's uit die jouw site niet gebruikt. Camera, microfoon, geolocatie, sensoren. Minimale standaardconfiguratie: Permissions-Policy: camera=(), microphone=(), geolocation=().

De drie meest voorkomende omgevingen voor een kmo-website: Apache, Nginx en Cloudflare als tussenlaag voor de origin.

Apache (.htaccess of httpd.conf):

<IfModule mod_headers.c>
  Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains"
  Header always set Content-Security-Policy "default-src 'self'; script-src 'self'; style-src 'self' 'unsafe-inline'"
  Header always set X-Frame-Options "SAMEORIGIN"
  Header always set X-Content-Type-Options "nosniff"
  Header always set Referrer-Policy "strict-origin-when-cross-origin"
  Header always set Permissions-Policy "camera=(), microphone=(), geolocation=()"
</IfModule>

Nginx (in het server-blok):

add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;
add_header Content-Security-Policy "default-src 'self'; script-src 'self'; style-src 'self' 'unsafe-inline'" always;
add_header X-Frame-Options "SAMEORIGIN" always;
add_header X-Content-Type-Options "nosniff" always;
add_header Referrer-Policy "strict-origin-when-cross-origin" always;
add_header Permissions-Policy "camera=(), microphone=(), geolocation=()" always;

Cloudflare Transform Rules. Ga naar Rules > Transform Rules > Modify Response Header en voeg elke header toe als aparte regel. Voordeel: geen toegang tot de origin-server nodig. Let op: definieer niet dezelfde header zowel op de origin als in Cloudflare, want dat levert dubbele waarden op die sommige browsers negeren.

Vijf fouten komen terug in 90% van de audits.

Een te strikt CSP vanaf het begin. De site breekt, beheerders schakelen terug naar default-src * en geven het op. Oplossing: begin met Content-Security-Policy-Report-Only met een rapport-endpoint gedurende twee weken, los de schendingen op en schakel dan over naar actieve modus.

HSTS op een site die nog afwisselt tussen HTTP en HTTPS. Als een deel van de site via HTTP laadt, blokkeert de browser alles na het eerste HTTPS-bezoek. Controleer of de volledige site, inclusief assets, via HTTPS draait voordat je HSTS activeert.

De dubbele header. Geconfigureerd in zowel WordPress via een plugin als in Apache. De browser ontvangt twee waarden, vaak tegenstrijdig, en vertoont onvoorspelbaar gedrag. Centraliseer de configuratie op één plek.

X-Frame-Options zonder frame-ancestors CSP. X-Frame-Options alleen is verouderd in nieuwe browsers. Stel beide in om zowel oude als nieuwe clients te dekken.

Referrer-Policy te soepel. De standaardwaarde in veel frameworks is no-referrer-when-downgrade, die volledige URL's lekt. Schakel over naar strict-origin-when-cross-origin. Dit is ook een maatregel voor dataminimalisatie in de zin van de AVG.

Onze gratis scanner test deze zes headers samen met de overige AVG-controles. Voor een gerichte test op alleen headers kun je de tool bovenaan deze pagina gebruiken.