- Klantenforum
- » Lounge
- » Topic
-
Member
-
Member
-
MemberReactie geplaatst op: 09-08-2021 om 00:43
Hier lopen wij direct tegen een probleem aan
<IfModule mod_headers.c>
Header set X-Powered-By
</IfModule>
X-Powered-By lekt namelijk sever informatie waaronder PHP/7.4.20, in het algemeen staat deze ook uit bij diverse hosting bedrijven. En wij willen namelijk een veilige website hebben voor jullie bezoekers en de wensite beheerders.
De HTTP-headers Server, X-Powered-By, X-AspNet-Version en X-AspNetMvc-Version bieden geen direct voordeel en verslinden onnodig een kleine hoeveelheid bandbreedte. Gelukkig kunnen deze antwoordheaders worden verwijderd met enkele configuratiewijzigingen.
Wij zullen dan ook het verzoek indiennen, dat X-Powered-By wordt uitgeschakeld dan behoeven jullie geen zorgen meer te maken over de veiligheid van jullie website.Vond u dit antwoord nuttig?
-
MemberReactie geplaatst op: 17-08-2021 om 21:33
Hieronder staat een http HEADER die voorkomt dat de server informatie waaronder PHP/7.4.20 bijvoorbeeld niet zichtbaar wordt.
Het is dus van belang voor uw website, om die functie uit te schakelen in uw .htaccess bestand.
<IfModule mod_headers.c>
Header always unset X-Powered-By
</IfModule>
<IfModule mod_headers.c>
Header unset X-Powered-By
</IfModule>Vond u dit antwoord nuttig?
Met deze toevoeging, krijg je overal een A+
Let goed op dat er geen dubbele headers in je .htaccess bestand staan.
Boeg altijd 1 voor 1 een headers toe, zodat je weet als je een foutmelding krijgt, dat waar het dan aan ligt.
Enkele instellingen, kan eventueel anders ingestelt worden voor jouw website.
Controleer altijd of de website geen foutmelding krijgt.
Waar kan ik dit allemaal testen?
https://securityheaders.com/
https://www.immuniweb.com/free/
https://hstspreload.org/
<IfModule mod_headers.c>
Header set Content-Security-Policy-Report-Only: "default-src https:; report-uri /csp-violation-report-endpoint/"
</IfModule>
<IfModule mod_headers.c>
Header set Access-Control-Allow-Origin: https://JOUWWEBSITEURL.eu
</IfModule>
<IfModule mod_headers.c>
Header set Vary: Origin
</IfModule>
<IfModule mod_headers.c>
Header set Save-Data: On
</IfModule>
<IfModule mod_headers.c>
Header always set X-Frame-Options "SAMEORIGIN"
</IfModule>
<IfModule mod_headers.c>
Header always set X-Content-Type-Options "nosniff"
</IfModule>
<IfModule mod_headers.c>
Header set X-XSS-Protection "1; mode=block"
</IfModule>
<IfModule mod_headers.c>
Header set Referrer-Policy "strict-origin-when-cross-origin"
</IfModule>
<IfModule mod_headers.c>
Header set Strict-Transport-Security: "max-age=31536000; includeSubDomains; preload" env=HTTPS
</IfModule>
<IfModule mod_headers.c>
Header set Expect-CT: "enforce, max-age=7776000"
</IfModule>
<IfModule mod_headers.c>
Header set Set-Cookie: "__Host-BMOSESSIONID=YnVnemlsbGE=; Max-Age=2592000; Path=/; Secure; HttpOnly; SameSite=Strict"
</IfModule>
<IfModule mod_headers.c>
Header always set Content-Security-Policy "frame-ancestors 'self'"
</IfModule>
<IfModule mod_headers.c>
Header set Content-Language: "nl, be"
</IfModule>
<IfModule mod_headers.c>
Header set Cross-Origin-Embedder-Policy: "(unsafe-none|require-corp); report-to='default'"
</IfModule>
<IfModule mod_headers.c>
Header set Cross-Origin-Opener-Policy: "(same-origin|same-origin-allow-popups|unsafe-none); report-to='default'"
</IfModule>
<IfModule mod_headers.c>
Header set alt-svc: "h3=':443'; ma=2592000,h3-29=':443'; ma=2592000,h3-T051=':443'; ma=2592000,h3-Q050=':443'; ma=2592000,h3-Q046=':443'; ma=2592000,h3-Q043=':443'; ma=2592000,quic=':443'; ma=2592000; v='46,43'"
</IfModule>
<IfModule mod_headers.c>
Header set Access-Control-Expose-Headers: Accept-Language
</IfModule>
<IfModule mod_headers.c>
Header set Access-Control-Request-Method: "POST"
</IfModule>
<IfModule mod_headers.c>
Header set Access-Control-Request-Headers: "X-PINGOTHER, Content-Type"
</IfModule>
<IfModule mod_headers.c>
Header set Access-Control-Max-Age: "600"
</IfModule>
<IfModule mod_headers.c>
Header set Access-Control-Allow-Headers: "Origin, X-Requested-With, Content-Type, Accept"
</IfModule>
<IfModule mod_headers.c>
Header set If-None-Match: "*"
</IfModule>
<IfModule mod_headers.c>
Header set Expect: "100-continue"
</IfModule>
<IfModule mod_headers.c>
Header set Content-Range: "bytes 50-1000/*"
</IfModule>
<IfModule mod_headers.c>
Header set Accept-Encoding: "br;q=1.0, gzip;q=0.6, *;q=0.1"
</IfModule>
<IfModule mod_headers.c>
Header set Content-Location: /index.php
</IfModule>
<IfModule mod_headers.c>
Header set Access-Control-Allow-Methods: "POST, GET, OPTIONS"
</IfModule>
<IfModule mod_headers.c>
Header set Date: "Tue, 19 July 2021 00:49:10 GMT"
</IfModule>
<IfModule mod_headers.c>
Header set Last-Modified: "Tue, 19 July 2021 00:49:10 GMT"
</IfModule>
<IfModule mod_headers.c>
Header set If-Modified-Since: "Tue, 19 July 2021 00:49:10 GMT"
</IfModule>
<IfModule mod_headers.c>
Header set Expires: "Fri, 01 Jan 1990 00:00:00 GMT"
</IfModule>
<IfModule mod_headers.c>
Header set X-Clacks-Overhead: "GNU Terry Pratchett"
</IfModule>
<IfModule mod_headers.c>
Header set X-Cache: "MISS from wikipedia.org"
</IfModule>
<IfModule mod_headers.c>
Header set Cross-Origin-Resource-Policy: "(same-site|same-origin|cross-origin)"
</IfModule>
<IfModule mod_headers.c>
<filesMatch ".(ico|jpe?g|png|gif|swf)$">
Header set Cache-Control "public"
</filesMatch>
<filesMatch ".(css)$">
Header set Cache-Control "public, max-age=31536000"
</filesMatch>
<filesMatch ".(js)$">
Header set Cache-Control "private"
</filesMatch>
<filesMatch ".(x?html?|php)$">
Header set Cache-Control "private, must-revalidate"
</filesMatch>
</IfModule>
Vond u dit antwoord nuttig?