In diesem Abschnitt werden die verschiedenen Sicherheitsmechanismen, die als Richtlinie für Browser bestehen beleuchtet und die Verwendung in CONTAILOR erläutert. Es geht speziell um die HTTP-Header Direktiven.
HSTS sorgt dafür, dass eine Auslieferung aller Ressourcen der Webseite über eine gesicherte Verbindung (HTTPS) erzwungen wird. Damit kann ein Angriff Dritter z.B. über nicht sichere HTTP-Weiterleitungen verhindert werden.
Ziel ist es die CSP vollständig zu unterstützen. CONTAILOR-Instanzen sollen zudem nur das zulassen, was für die jeweilige Seite notwendig ist. Dazu gibt es dieverse Einstellungen, die der Webseitenersteller bei der Implementierung entsprechend anpassen muss.
Ein X-Frame-Options HTTP Antwort-Header wird verwendet, um einem Browser mitzuteilen, ob eine Seite in einem <frame>, <iframe> oder <object> angezeigt werden darf. Websites können dieses nutzen, um Clickjacking-Angriffe zu verhindern.
Ein X-Content-Type-Options HTTP Header eines Servers gibt an, dass der jeweils gesendete MIME Content-Type einer Datei nicht verändert werden kann. Das verhindert ein Ausspähen durch manipulierte MIME-Types oder in anderen Worten: Der Webmaster weiß, was sein Server genau macht.
Der HTTP X-XSS-Protection Antwort-Header ist ein Feature des Internet Explorers, Chrome und Safari, das ein Nachladen bei einer entdeckten Cross-Site Scripting (XSS) Attacke verhindert. Gleichwohl ist dieser Header huetzutage in modernen Browswern weniger wichtig.
Die Referer-Policy steuert welchen Seiten, die ausgehend von der eigenen aufgerufen werden, die eigene Adresse als "Absender" mitgegeben wird. Im Grunde wird einfach verhindert, dass die Zielseite ggf. zu viele Informationen aus der Quelle ziehen kann
Subresource Integrity (SRI) ist ein Sicherheitsmerkmal, mit dem Browser überprüfen können, ob Ressourcen, die sie abrufen (z.B. von einem CDN), ohne unerwartete Manipulationen geliefert werden. Es funktioniert, indem es Ihnen erlaubt, einen kryptographischen Hash bereitzustellen, mit dem eine geholte Ressource übereinstimmen muss.
Diese Cookie-Eigenschaft legt fest, das das Cookie nur übertragen wird wenn sie Seite per HTTPS aufgerufen wird, und die Daten somit verschlüsselt vom Browser an den Server übertragen werden. SameSite verhindert Angriffe nach dem "Cross-Site-Request-Forgery"-Prinzip und HttpOnly verhindert das Auslesen und Manipulieren der Cookies über Client-Skripte.
Dieser Header kann Browser Features, wie z. B. Positionsabfrage, Ton abspielen usw. steuern bzw. Verbieten. Gerade für eingebettete Seiten kann dieses Feature interessant sein und diese entsprechend limitieren.