From feedfc8e9688044d4a420e57b49ca0bb332fab3d Mon Sep 17 00:00:00 2001 From: Christoph Date: Sat, 4 Feb 2023 00:31:02 +0100 Subject: [PATCH] README.HTTP-security-headers: add more http security headers. --- DOC/README.HTTP-security-headers | 59 ++++++++++++++++++++++++++++++++ 1 file changed, 59 insertions(+) diff --git a/DOC/README.HTTP-security-headers b/DOC/README.HTTP-security-headers index 1266bdf..66f2b66 100644 --- a/DOC/README.HTTP-security-headers +++ b/DOC/README.HTTP-security-headers @@ -188,6 +188,16 @@ # - and disable use of various browser features and APIs. # - #Header always set Permissions-Policy: "usb=()" +#Header always set Permissions-Policy "camera=(), microphone=(), geolocation=()" + +# - Feature-Policy +# - +# - Feature-Policy is an HTTP header that can allow website owners to toggle on or off certain +# - of those web browser features and API. +# - +# - The Feature-Policy standard & header is being renamed to Permissions-Policy. +# - +#Header always set Feature-Policy "microphone 'none'; camera 'none'; geolocation 'none'" # - Set-Cookie # - @@ -207,6 +217,55 @@ # #Header set Set-Cookie: "sess=joh3Ao4e; path=/; HttpOnly" +# - X-Permitted-Cross-Domain-Policies +# - +# - Der HTTP-Header X-Permitted-Cross-Domain-Policies schützt vor unerwünschten Einbetten +# - der eigenen Webseiteninhalte in PDF-Dokumente und Adobe-Flash-Anwendungen auf anderen +# - Webseiten. +# - +# - Der einfachste Anwendungsfall verbietet jegliches Einbetten außerhalb der eigenen Webseite: +# - +# - X-Permitted-Cross-Domain-Policies: none +# - +#Header always set X-Permitted-Cross-Domain-Policies "none" + +# - X-Download-Options +# - +# - The X-Download-Options HTTP header has only one option: X-Download-Options: noopen. +# - +# - This is for Internet Explorer from version 8 on to instruct the browser not to open +# - a download directly in the browser but instead to provide only the �Save� option. +# - The user has to first save it and then open it in an application +# - +#Header always set X-Download-Options "noopen" + +# - X-Robots-Tag +# - +# - X-Robots-Tag ist eine Art HTTP-Header, mit dem Webmaster steuern können, wie ihre Seiten +# - indiziert und von Suchmaschinen bereitgestellt werden. Dies kann nützlich sein, um +# - bestimmte Seiten aus den Suchergebnissen auszuschließen oder um anzugeben, dass eine +# - Seite auf eine bestimmte Weise indiziert werden soll. +# - +# - Der X-Robots-Tag-HTTP-Header kann verwendet werden, um eine Reihe verschiedener +# - Anweisungen anzugeben, darunter: +# - +# - noindex: Diese Direktive weist Suchmaschinen an, die Seite nicht zu indizieren. +# - +# - nofollow: Diese Direktive weist Suchmaschinen an, den Links auf der Seite nicht zu +# - folgen. +# - +# - none: Diese Anweisung ist eine Kombination aus noindex und nofollow und weist +# - Suchmaschinen an, die Seite nicht zu indizieren oder den Links auf der Seite +# - zu folgen. +# - +# - nosnippet: Diese Direktive weist Suchmaschinen an, kein Snippet oder keine +# - Beschreibung für die Seite in den Suchergebnissen anzuzeigen. +# - +# - noarchive: Diese Direktive weist Suchmaschinen an, keine zwischengespeicherte Kopie +# - der Seite zu speichern. +# - +#Header always set X-Robots-Tag "noindex, noarchive, nosnippet, nofollow" + # - HTTP Strict Transport Security (HSTS) # - # - See: https://scotthelme.co.uk/hsts-the-missing-link-in-tls/