RON dokumentace

HTTP hlavičky

Doporučené hlavičky pro zabezpečení stránky - lze nastavit na serveru (doporučeno) nebo v _appdbset.php. Na IIS se většinou konfigurují v "Hlavičky HTTP odpovědi"

Strict-Transport-Security

Doporučená hodnota: Strict-Transport-Security: max-age=31536000; includeSubDomains

Po zadanou dobu zabrání přístup přes HTTP a vyžaduje HTTPS (hodnota 60 je jen pro testování - pro produkci by měla být výrazně větší - např. 31536000 pro jeden rok)

POZOR! Pokud se nastaví tato hlavička, tak už musí být web trvale dostupný přes HTTPS. Po případném vypnutí HTTPS by se tam prohlížeč přes HTTP nedostal. Viz. popis zde: https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Strict-Transport-Security

v _appdbset.php lze nastavit např. takto (hodnota 60 je jen pro testovací účely):

    header("Strict-Transport-Security: max-age=60");

Na IIS serveru se zapíná v Nastavení SSL - Konfigurovat HSTS

X-Frame-Options

Zabrání vložení stránky do jiné (externí) stránky jako frame

Doporučená hodnota: X-Frame-Options: SAMEORIGIN

v _appdbset.php lze nastavit např. takto:

    header("X-Frame-Options: SAMEORIGIN");

X-Content-Type-Options

Zabrání zpracování javascriptu nebo css pro obsah, který nemá nastaven správný typ.

v _appdbset.php lze nastavit např. takto:

    header("X-Content-Type-Options: nosniff");

Referrer-Policy

Informuje browser, kdy má posílat hlavičku referrer.

v _appdbset.php lze nastavit např. takto:

    header("Referrer-Policy: no-referrer");

Permissions-Policy

Umožňuje nastavit přístup k některým rozhraním prohlížeče.

v _appdbset.php lze nastavit např. takto:

    header("Permissions-Policy: geolocation=(self)");

Content-Security-Policy

Umožňuje nastavit dodatečné zabezpečení obsahu stránky. Tato hlavička by neměla být nastavena přímo na serveru, protože některé její parametry je potřeba nastavovat náhodně!

v _appdbset.php lze nastavit např. takto:

   header("Content-Security-Policy: frame-ancestors 'self'");