Hardening: Die wichtigsten Security‑Header erklärt
Mit wenigen Response‑Headern lässt sich die Sicherheit deutlich erhöhen. Unten die Kurzfassung, Details siehe OWASP & MDN.
Content-Security-Policy: default-src 'self'; img-src 'self' data: https:; style-src 'self' 'unsafe-inline' https:; script-src 'self' https:; object-src 'none'; base-uri 'self'; frame-ancestors 'none'; form-action 'self'; upgrade-insecure-requests
Referrer-Policy: strict-origin-when-cross-origin
Permissions-Policy: geolocation=(), microphone=(), camera=()
X-Content-Type-Options: nosniff
X-Frame-Options: DENY